安全管控-数据权限审批
- 数据权限审批是数据安全网关的重要功能之一。运维资产是无法被任何用户访问的。用户在访问运维资产控制库时受限提示,并提供一个时限为10分钟的权限申请URL。
- 通过单击运维堡垒机的WebSQL页面上的“权限申请”按钮打开申请页面,或者直接使用URL打开申请页面,可以提交访问权限申请。
- 管理员可以通过“数据权限审批”页面为申请用户进行申请权限审批。
前提条件
数据库操作员对资产进行运维操作时,需要提交数据访问实时申请工单。管理员在审批页面审批后,数据库操作员才能进行相关操作。
审批数据权限
- 使用系统管理员sysadmin账号登录数据库运维管理系统。
- 在左侧导航栏,选择,页面展示资产控制列表。
- 选择一个运维资产控制,单击“配置”按钮,浏览器新开一个页面。
- 选择,页面展示待审批列表。
- 选择一条待审批权限,单击“待审批”按钮,页面弹出“权限审批详情”页面。
- 确认待审批详细信息,单击“通过”,为申请人授予权限。
- 确认待审批详细信息,单击“驳回”,驳回申请人申请权限要求。
图1 权限审批详情
表1 待审批详情信息说明 参数
说明
账号
申请人账号信息。在平台用户功能创建的虚拟账号,可以登录管理平台和运维堡垒机平台。
访问工具
申请人申请权限时所使用的客户端工具,如果使用堡垒机此处显示WebSQL,如果使用第三方工具例如dbeaver,此处显示对应的工具名称。
数据库用户
申请访问数据权限时所使用的数据库用户。
用户IP
申请访问数据权限时所使用的客户端IP。
权限类型
申请访问数据的操作类型,包括新增、删除、修改、读取。
可以是一种或者多种。
数据库类型
显示当前数据权限申请对应资产库的类型:例如MySQL、Oracle、PostgreSQL、DB2、SQL Server、MariaDB、Kingbase、达梦、Greenplum、OpenGauss。
数据库IP
显示当前数据权限申请对应资产库的IP,由于客户是通过访问代理服务间接访问的资产库,因此显示的是代理服务的IP。
数据库端口号
显示当前数据权限申请对应资产库的端口号,由于客户是通过访问代理服务间接访问的资产库,因此显示的是代理服务的端口号。
数据库名
显示当前数据权限申请对应资产库的数据库名称
表
展示在父级表格中,权限申请的SCHEMA名.表名
权限类型
展示在父级表格中,申请访问该表的数据的操作类型,包括新增、删除、修改、读取。可以是一种或者多种。
字段
展示在子级表格中,显示当前表的字段名信息。
注释
展示在子级表格中,显示当前表的字段名数据库备注信息。
访问SQL
展示数据使用者访问数据时,所使用的SQL语句
申请使用时长
展示权限申请的使用时长,使用开始时间从权限审批通过开始计算。
申请原因
申请人填写的权限申请使用原因。
相关操作
后续您可以根据情况,在数据权限审批列表页面进行以下操作:
- 筛选条件:可以单击统计图或者在筛选框中选择需要的条件对审批列表信息进行精准定位。
- 添加过滤:对于常用的过滤条件可以添加为过滤条件。
- 数据访问权限审批是数据使用者提交申请工单,获取数据访问权限的一种常用方式,这种方式又被称为实时访问申请审批。使用场景为数据使用者在访问数据过程中对于执行没有访问权限的SQL快速授权的一种方式。
- 如果审批同意,运维操作员可以进行后续数据访问运维操作。如果被驳回,运维操作员无法进行后续数据访问运维操作。
