更新时间:2025-04-17 GMT+08:00
工单审批配置举例
对于超出一般访问控制权限以外的运维操作,运维人员如确需执行的,数据库运维安全管理系统还提供了工单审批机制。运维人员可以预先将需要操作的语句、脚本、命令等所需要的权限填入工单进行申请,由系统指定的审批人员批准之后,方可在指定的时间窗口内进行。
操作完成后权限自动收回,兼顾安全和业务。
此项功能配置需要datadmin,sysadmin,secadmin三个角色的管理员配合操作。
- datadmin:数据库运维人员,通过安全客户端进行日常运维;通过运维工单申请高风险操作。需要工单申请菜单权限。
- sysadmin:系统管理员,日常维护数据库运维安全管理系统,例如配置数据源、配置安全策略、审批运维工单、查看审计日志等。需要资产管理、安全策略、运维管理、审计中心等菜单权限。
- secadmin:安全管理员,系统管理数据库运维安全管理系统,例如账号审核等。
添加数据源
- 使用系统管理员sysadmin账号登录数据库运维安全管理系统。
- 在左侧导航栏,选择。
- 单击右上角的“添加”。
- 在添加数据源对话框中,设置数据源信息。
图1 添加数据源
- 单击“保存”,保存数据源的配置信息。
添加工单模板
- 使用系统管理员sysadmin账号登录数据库运维安全管理系统。
- 在左侧导航栏,选择“运维管理 > 工单模板”。
- 单击右侧“新增”。
- 输入工单模板名称,在流程单击
添加审批节点、审批人及审批方式。
图2 添加审批节点
- 单击“确认”保存。
请先添加系统管理员审批人账号及数据库操作员账号。
数据库操作员发起运维工单申请
- 使用数据库操作员datadmin账号登录数据库运维安全管理系统。
- 在左侧导航栏,选择。
- 单击“发起申请”,在发起审批对话框中,设置工单信息。
- 配置工单信息。
图3 发起审批
- 配置完成后,单击“提交审批”。
系统管理员审批运维工单
- 使用系统管理员sysadmin账号登录数据库运维安全管理系统。
- 在左侧导航栏,选择。
- 在待审批页签中找到需要审批的工单申请,进行审批。
- 单击工单名称,可查看工单详情,可选择同意、驳回或转交他人审批,或在工单列表操作区单击同意或驳回,并在同意或驳回审批对话框中,输入审批意见。
如果审批同意,运维操作员可以进行后续运维操作。如果被驳回,运维操作员无法进行后续运维操作。转交他人审批选项取决于工单模板中是否选择了可转交他人审批。
图4 审批工单
验证配置效果
- 使用数据库操作员datadmin账号登录数据库运维安全管理系统。
- 使用本机上的DBeaver通过代理服务器执行ALTER操作,如果审批通过,此时可正常访问。
操作详情请参见通过代理连接数据库。图5 客户端访问结果
- 如果审批被驳回或同意后工单被回收,此时会被阻断。
操作详情请参见通过代理连接数据库。图6 客户端访问结果
父主题: 系统功能配置及使用场景举例
