文档首页 > > 用户指南> 管理云堡垒机系统> 策略> 数据库控制策略

数据库控制策略

分享
更新时间: 2020/06/24 GMT+08:00

云堡垒机增强版支持拦截数据库会话,系统管理员admin或拥有“数据库控制策略”管理权限的用户,可创建数据库控制策略。授权用户登录策略关联的数据库资源,当数据库运维会话触发规则命令,将会拦截数据库会话。

  • 云堡垒机增强版针对MySQL和Oracle类型数据库,系统可通过数据库控制策略,对纳管数据库运维会话进行命令拦截。
  • 为实现系统拦截数据库会话,在创建了数据库运维资源后,用户需先创建“规则集”并添加相应规则,再创建控制策略关联用户和资源账户。
  • 数据库控制策略执行规则、关联用户或关联资源发现变化,会实时在会话中生效,包括增减修改关联的用户、资源账户、规则命令、策略执行动作、策略有效时间等。例如修改策略拦截动作,由“拒绝执行”变为“允许执行”,会话马上能够执行之前无法执行的sql语句,反之也是如此。

前提条件

  • 已拥有CBH系统“数据库控制策略”模块管理权限。

管理规则集

  1. 登录云堡垒机系统。
  2. 选择策略 > 数据库控制策略 > > 规则集,进入规则集列表页面。

    图1 规则集列表

  3. 单击“新建”,弹出“新建规则集”窗口。
  4. 配置规则集名称和选择协议,系统内“规则集名称”不能重复。

    目前仅支持选择MySQL和Oracle两种数据库协议类型,且选定后不可修改。

    图2 新建规则集

  5. 单击“确定”,返回规则集列表页面,查看新建的规则集。
  6. 添加规则。

    1. 单击“操作”列的“添加规则”,添加规则集的库、表和命令规则。
    2. 单击“确定”,规则添加完成。
      表1 添加规则参数说明

      参数

      说明

      可选项,支持正则表达式匹配库名。

      缺省状态下表示将会拦截所有使用该命令的sql语句。

      可选项,支持正则表达式匹配表名。

      缺省状态下表示将会拦截所有使用该命令的sql语句。

      命令

      必选项,必须选择一条预置命令。

      目前支持选择29种命令,同时可选择多条命令。

      图3 添加规则

  7. 管理规则集。

    1. 单击规则集名称,或者单击“管理”,进入“规则集详情”界面。
    2. 单击“基本信息”区域的“编辑”,可修改规则集名称,协议类型选定后不可修改。
    3. 单击“规则”区域的“添加”,可修改规则参数。

  8. 删除规则集。

    1. 单击指定规则集“操作”列的“删除”,可删除该规则集。
    2. 同时勾选多个规则集,单击列表下方的“删除”,可以批量删除多个规则集。

新建数据库控制策略

  1. 登录云堡垒机系统。
  2. 选择策略 > 数据库控制策略 >策略列表,进入策略列表页面。

    图4 数据库控制策略页面

  3. 单击“新建”,弹出“新建数据库控制策略”窗口。

    图5 配置策略基本信息

  4. 配置策略基本信息,单击“下一步”

    表2 数据库控制策略基本信息参数说明

    参数

    说明

    策略名称

    自定义的数据库控制策略名称,系统内“策略名称”不能重复。

    执行动作

    策略控制用户在数据库的执行动作。

    包括“断开连接”“拒绝执行”“动态授权”“允许执行”

    • 断开连接:当数据库运维会话执行策略生效的命令时,直接断开会话。
    • 拒绝执行:当数据库运维会话执行策略生效的命令时,直接拒绝命令的执行。
    • 动态授权:当数据库运维会话执行策略生效的命令时,直接拒绝命令的执行,需要向管理员提交审批,管理员通过之后才能执行。
    • 允许执行:当数据库运维会话执行策略生效的命令时,允许执行。

    有效期

    策略生效时间和策略的实效时间。

    时间限制

    限制策略的生效时间段。

  5. 配置规则集,选择已创建规则集,单击“下一步”

    图6 配置规则集

  6. 关联用户或用户组,选择已创建用户或用户组,单击“下一步”

    • 当用户组关联策略后,新用户加入到用户组中会自动继承用户组的策略权限。
    • “关联用户”“关联用户组”中用户需拥有资源运维权限,即已配置拥有数据库授权工单权限的“角色”。否则用户登录系统后无法查看数据库授权工单模块,不能提交工单获取权限。
    图7 选择用户或用户组

  7. 关联资源账户或账户组,选择已创建数据库资源账户或账户组。

    当账户组关联策略后,新账户加入到账户组中会自动继承账户组的策略权限。
    图8 选择资源账户或账户组

  8. 单击“确定”,返回策略列表页面,查看新建的数据库控制策略。

编辑数据库控制策略

  1. 登录云堡垒机系统。
  2. 选择策略 > 数据库控制策略 > 策略列表,进入策略列表页面。

    图9 数据库控制策略列表

  3. 单击策略名称,或者单击“管理”,进入“数据库控制策略详情”页面。

    1. 单击“基本信息”区域的“编辑”,可查看和修改策略基本参数信息。
    2. 分别单击“规则集”“用户”“用户组”“资源账户”“账户组”区域的“编辑”,可修改或移除策略规则集、用户、用户组、资源账户或账户组。

  4. 单击“插入”,快速新建控制策略,在对应策略前插入一条新建策略。
  5. 单击“关联”,快速查看和修改策略关联规则集、用户、用户组、资源账户或账户组。
  6. 单击“删除”,可删除该策略。

    同时勾选多个策略,单击列表下方的“删除”,可以批量删除多个策略。

    删除策略后,策略所有的配置信息将不能恢复和查询。

  7. 同时勾选一个或多个策略,单击“启用”“禁用”,快速启用或禁用策略。

    “已启用”状态的策略才生效数据库访问的限制。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问