更新时间:2024-10-21 GMT+08:00
分享

工单审批配置举例

对于超出一般访问控制权限以外的运维操作,运维人员如确需执行的,数据库运维安全管理系统还提供了工单审批机制。运维人员可以预先将需要操作的语句、脚本、对象以及所需要的权限填入工单进行申请,由系统指定的审批人员批准之后,方可在指定的时间窗口内进行。

操作完成后权限自动收回,完美兼顾安全和业务。

说明:此项功能配置需要datadmin,sysadmin,secadmin三个角色的管理员配合操作。

  • datadmin:数据库运维人员,通过安全客户端进行日常运维;通过运维工单申请高风险操作。需要工单申请菜单权限。
  • sysadmin:系统管理员,日常维护数据库运维安全管理系统,例如配置数据资产、配置防护策略、审批运维工单、查看审计日志等。需要资产管理、策略防护、工单审批、审计日志等菜单权限。
  • secadmin:安全管理员,系统管理数据库运维安全管理系统,例如人员管理、系统配置等。需要审批架构的菜单权限。

组网需求

图1 反向代理组网
表1 组网说明

设备

说明

客户端

IP地址:172.16.197.57

数据库运维安全管理系统

IP地址:172.16.35.212

MySQL数据库

  • IP地址:172.16.47.63
  • 数据库版本:MySQL 5.7

添加数据资产

  1. 使用系统管理员sysadmin账号登录数据库运维管理系统
  2. 在左侧导航栏,选择资产管理 > 资产配置
  3. 单击右上角的“添加”
  4. 在添加资产对话框中,设置资产信息和反向代理部署模式并开启web认证。

    图2 添加数据资产

  5. 单击“保存”,保存数据资产的配置信息。

添加账号信息

  1. 使用系统管理员sysadmin账号登录数据库运维管理系统
  2. 在左侧导航栏,选择资产管理 > 账号管理
  3. 单击右上角的添加账号。
  4. 在新增账号对话框中,选择资产和对应的账号信息。
  5. 配置完成后,单击测试连接,检查数据库是否能够连接。
  6. 测试通过后,单击“保存”,保存账号信息。

关联数据库操作员和资产账号

此处以默认数据库操作员账号(datadmin)为例,实际场景中您需要为每个数据库操作员单独创建账号。

  1. 在左侧导航栏,选择运维管理 > 人员管理
  2. 找到目标数据库操作员,单击“配置中心”
  3. 在账号设置对话框中,开启授权状态、密码代填并选择账号。

添加自定义策略

  1. 使用系统管理员sysadmin账号登录数据库运维管理系统
  2. 在左侧导航栏,选择策略防护 > 策略定义
  3. 单击SQL策略页签。
  4. 新增一个策略组,在策略组列表区域,添加策略组。

    1. 单击“添加策略组”
    2. 设置策略组的名称和基于哪个策略组,单击“确定”
      图3 新建策略组
    3. 创建完成后,单击策略组名称,修改策略信息,单击右上角的“保存”

  5. 在策略组中添加新策略。

    1. 鼠标移动到目标策略组,单击添加图标。
    2. 设置策略名称和类型,单击“确定”
      图4 添加策略

  6. 配置策略内容。

    1. 单击策略组前面的展开图标。
    2. 单击策略名称,在策略详情页面修改策略信息。
      在策略详情中可以从多个维度设置策略信息,包括策略基本信息、资产信息、目标信息、访问信息和时间等。
      图5 配置策略内容
    3. 单击右上角的“保存”,保存策略信息。

使自定义策略生效

  1. 使用系统管理员sysadmin账号登录数据库运维管理系统
  2. 在左侧导航栏,选择策略防护 > 策略配置
  3. 单击基本配置页签。
  4. 在当前已选择资产下拉栏中,选择目标资产。
  5. 勾选SQL策略。
  6. 单击编辑图标。
  7. 勾选策略组名称。
  8. 单击“确定”
  9. 单击右上角的策略应用,使配置生效。

    每次修改策略组,都需要在策略设置中单击策略应用,使策略修改生效。

安全管理员添加审批架构

  1. 使用安全管理员secadmin账号登录数据库运维管理实例web控制台
  2. 在左侧导航栏,选择用户管理 > 审批架构
  3. 单击右侧“添加”按钮。
  4. 在添加成员信息弹框填写信息。
  5. 单击右上角的“添加”

    请先添加系统管理员审批人账号,随后添加数据库操作员申请人账号。

    图6 添加成员信息

数据库操作员发起运维工单申请

  1. 使用数据库操作员datadmin账号登录数据库运维管理实例web控制台
  2. 左侧导航栏,选择运维管理 > 工单申请
  3. 单击“工单申请”,在发起审批对话框中,设置工单信息。
  4. 配置工单信息。

    图7 发起审批

  5. 配置完成后,单击“提交”按钮,在确认提示框中单击“确定”

系统管理员审批运维工单

  1. 使用系统管理员sysadmin账号登录数据库运维管理系统
  2. 在左侧导航栏,选择运维管理 > 工单审批
  3. 找到目标工单申请,进行审批
  4. 在编辑审批对话框中,设置审批意见,并单击“同意”或驳回)。

    如果审批同意,运维操作员可以进行后续运维操作。如果被驳回,运维操作员无法进行后续运维操作。

    图8 登录Web控制台

验证配置效果

  1. 使用数据库操作员datadmin账号登录数据库运维管理实例web控制台
  2. 使用本机上的DBeaver通过代理服务器访问数据资产中test表如果审批通过此时可正常访问

    操作详情请参见通过代理连接数据库
    图9 客户端访问结果

  3. 使用本机上的DBeaver通过代理服务器访问数据资产中test表如果审批被驳回或同意后被撤销,此时被阻断。

    操作详情请参见通过代理连接数据库
    图10 客户端访问结果

相关文档