工单审批配置举例
对于超出一般访问控制权限以外的运维操作,运维人员如确需执行的,数据库运维安全管理系统还提供了工单审批机制。运维人员可以预先将需要操作的语句、脚本、对象以及所需要的权限填入工单进行申请,由系统指定的审批人员批准之后,方可在指定的时间窗口内进行。
操作完成后权限自动收回,完美兼顾安全和业务。
说明:此项功能配置需要datadmin,sysadmin,secadmin三个角色的管理员配合操作。
- datadmin:数据库运维人员,通过安全客户端进行日常运维;通过运维工单申请高风险操作。需要工单申请菜单权限。
- sysadmin:系统管理员,日常维护数据库运维安全管理系统,例如配置数据资产、配置防护策略、审批运维工单、查看审计日志等。需要资产管理、策略防护、工单审批、审计日志等菜单权限。
- secadmin:安全管理员,系统管理数据库运维安全管理系统,例如人员管理、系统配置等。需要审批架构的菜单权限。
组网需求
设备 |
说明 |
---|---|
客户端 |
IP地址:172.16.197.57 |
数据库运维安全管理系统 |
IP地址:172.16.35.212 |
MySQL数据库 |
|
添加数据资产
- 使用系统管理员sysadmin账号登录数据库运维管理系统。
- 在左侧导航栏,选择 。
- 单击右上角的“添加”。
- 在添加资产对话框中,设置资产信息和反向代理部署模式并开启web认证。
图2 添加数据资产
- 单击“保存”,保存数据资产的配置信息。
添加账号信息
- 使用系统管理员sysadmin账号登录数据库运维管理系统。
- 在左侧导航栏,选择 。
- 单击右上角的添加账号。
- 在新增账号对话框中,选择资产和对应的账号信息。
- 配置完成后,单击测试连接,检查数据库是否能够连接。
- 测试通过后,单击“保存”,保存账号信息。
关联数据库操作员和资产账号
此处以默认数据库操作员账号(datadmin)为例,实际场景中您需要为每个数据库操作员单独创建账号。
- 在左侧导航栏,选择 。
- 找到目标数据库操作员,单击“配置中心”。
- 在账号设置对话框中,开启授权状态、密码代填并选择账号。
添加自定义策略
- 使用系统管理员sysadmin账号登录数据库运维管理系统。
- 在左侧导航栏,选择 。
- 单击SQL策略页签。
- 新增一个策略组,在策略组列表区域,添加策略组。
- 单击“添加策略组”。
- 设置策略组的名称和基于哪个策略组,单击“确定”。
图3 新建策略组
- 创建完成后,单击策略组名称,修改策略信息,单击右上角的“保存”。
- 在策略组中添加新策略。
- 鼠标移动到目标策略组,单击添加图标。
- 设置策略名称和类型,单击“确定”。
图4 添加策略
- 配置策略内容。
- 单击策略组前面的展开图标。
- 单击策略名称,在策略详情页面修改策略信息。
- 单击右上角的“保存”,保存策略信息。
使自定义策略生效
- 使用系统管理员sysadmin账号登录数据库运维管理系统。
- 在左侧导航栏,选择 。
- 单击基本配置页签。
- 在当前已选择资产下拉栏中,选择目标资产。
- 勾选SQL策略。
- 单击编辑图标。
- 勾选策略组名称。
- 单击“确定”。
- 单击右上角的策略应用,使配置生效。
每次修改策略组,都需要在策略设置中单击策略应用,使策略修改生效。
安全管理员添加审批架构
- 使用安全管理员secadmin账号登录数据库运维管理系统。
- 在左侧导航栏,选择 。
- 单击右侧“添加”按钮。
- 在添加成员信息弹框填写信息。
- 单击右上角的“添加”。
请先添加系统管理员审批人账号,随后添加数据库操作员申请人账号。
图6 添加成员信息
数据库操作员发起运维工单申请
- 使用数据库操作员datadmin账号登录数据库运维管理系统。
- 在左侧导航栏,选择 。
- 单击“工单申请”,在发起审批对话框中,设置工单信息。
- 配置工单信息。
图7 发起审批
- 配置完成后,单击“提交”按钮,在确认提示框中单击“确定”。
系统管理员审批运维工单
- 使用系统管理员sysadmin账号登录数据库运维管理系统。
- 在左侧导航栏,选择 。
- 找到目标工单申请,进行审批。
- 在编辑审批对话框中,设置审批意见,并单击“同意”(或驳回)。
如果审批同意,运维操作员可以进行后续运维操作。如果被驳回,运维操作员无法进行后续运维操作。
图8 登录Web控制台
验证配置效果
- 使用数据库操作员datadmin账号登录数据库运维管理系统。
- 使用本机上的DBeaver通过代理服务器访问数据资产中test表,如果审批通过此时可正常访问。
操作详情请参见通过代理连接数据库。图9 客户端访问结果
- 使用本机上的DBeaver通过代理服务器访问数据资产中test表,如果审批被驳回或同意后被撤销,此时会被阻断。
操作详情请参见通过代理连接数据库。图10 客户端访问结果