数据库命令授权是用于拦截数据库会话敏感操作,实现数据库运维操作的细粒度控制。授权用户登录策略关联的数据库资源,当数据库运维会话触发规则,将会拦截数据库会话操作。
数据库命令授权支持以下功能项:
支持按命令组列表排序区分优先级,排序数字越小优先级越高。
支持控制允许、拒行两种命令动作。
允许:默认允许执行所有操作。当触发策略规则后,放行规则集中操作。
拒绝:触发该策略规则后,拒绝执行该操作。
约束限制
仅企业版堡垒机支持数据库运维操作审计。
仅针对MySQL、Oracle、Postgresql类型数据库,支持通过数据库命令授权设置操作细粒度控制。
新增命令组
您在新增数据库命令授权前需要进行新增命令组的操作。
使用“管理角色”账户登录云堡垒机系统。
在左侧导航栏选择“授权管理 > 数据库命令授权”,进入“数据库命令授权”页面。
在页面上面选择“命令组”页签,单击“新增”,开始新增命令组。
参数 参数说明 名称 自定义命令组的名称。 动作 选择该命令组中的命令触发时产生的动作:
允许:触发该策略规则后,放行命令操作。默认允许执行所有操作。
拒绝:触发该策略规则后,拒绝执行该命令,界面会提示您在执行命令时会得到该命令不能执行的提示。
SQL命令类型 根据您业务的需求,选择需要进行控制的命令,云堡垒机目前支持选择如下命令:
SELECT、INSERT、UPDATE、DELETE、TRUNCATE、CREATE、DROP、ALTER、GRANT、REVOKE、SHOW、DESCRIBE、EXPLAIN、RENAME。
SQL库名 填写命令生效的SQL库名。 SQL表名 填写命令生效的SQL表名。 风险等级 选择该命令组的风险等级,共可选5个等级。
命令组后续操作
修改命令组:选择需要修改的命令组,单击“操作”列中“编辑”,按照需求进行命令组数据的修改,单击“提交”完成命令组数据更新。
删除命令组:选择需要删除的命令组,单击“操作”列中“删除”,在弹出的对话框中单击“确定”即可删除命令组。
注意
删除后的命令组不可恢复,并且若命令组已绑定命令授权规则会导致该命令规则失效,请谨慎操作。
新增命令授权规则
使用“管理角色”账户登录云堡垒机系统。
在左侧导航栏选择“授权管理 > 数据库命令授权”,进入“命令授权”页面。
单击“新增”,开始新增字符命令授权。
参数 参数说明 授权规则名称 自定义资产访问授权的规则名称。 启用状态 选择该授权规则的启用状态,默认启用。 用户 (可选)选择需要配置访问授权的用户。 用户组 (可选)选择需要配置访问授权的用户组。
若您选择的用户和用户组存在重合,默认取最大的合集。资产 (可选)选择需要配置访问授权的资产。 资产组 (可选)选择需要配置访问授权的资产组。
若您选择的资产和资产组存在重合,默认取最大的合集。资产账号 选择命令授权规则生效的资产账号,添加资产账号请参见:资产账号章节。 敏感命令 选择需要进行控制的命令组,并填写优先级,优先级范围:1-100,数字越小优先级越高。 授权时间 选择该规则生效的时间段。
说明
- 配置时至少需要关联至少一个授权对象,否则这条命令策略不起作用,其余未关联的表示对所有生效;
- 以基础设施访问授权时,账号必须拥有该基础设施访问授权的访问权限策略才会生效。
后续操作
启用/禁用授权规则:可单个或批量启用/禁用授权规则,禁用的授权规则状态将更新为“无效”,启用的授权规则状态更新为“有效”,只有状态为“有效”的规则授权会生效。
编辑授权规则:选择需要修改的规则,单击“操作”列的“编辑”,按照需求进行命令授权数据的修改,单击“提交”完成命令授权数据更新。
删除授权规则:在需要删除的授权数据的“操作”列单击“删除”,在弹出的对话框中单击“确定”完成删除。
