数据库命令授权是用于拦截数据库会话敏感操作,实现数据库运维操作的细粒度控制。授权用户登录策略关联的数据库资源,当数据库运维会话触发规则,将会拦截数据库会话操作。
数据库命令授权支持以下功能项:
支持按命令组列表排序区分优先级,排序数字越小优先级越高。
支持控制允许、拒行两种命令动作。
允许:默认允许执行所有操作。当触发策略规则后,放行规则集中操作。
拒绝:触发该策略规则后,拒绝执行该操作。
约束限制
仅企业版堡垒机支持数据库运维操作审计。
仅针对MySQL、Oracle、Postgresql类型数据库,支持通过数据库命令授权设置操作细粒度控制。
新增命令组
您在新增数据库命令授权前需要进行新增命令组的操作。
1.使用“管理角色”账户登录云堡垒机(原生版)控制台。
2.在左侧导航栏选择“授权管理 > 数据库命令授权”,进入“数据库命令授权”页面。
3.在页面上面选择“命令组”页签,单击“新增”,开始新增命令组。
| 参数 | 参数说明 | 取值样例 |
|---|---|---|
| 名称 | 自定义命令组的名称。 | Test |
| 动作 | 选择该命令组中的命令触发时产生的动作: - 允许:触发该策略规则后,放行命令操作。默认允许执行所有操作。 - 拒绝:触发该策略规则后,拒绝执行该命令,界面会提示您在执行命令时会得到该命令不能执行的提示。 | 拒绝 |
| SQL命令类型 | 根据您业务的需求,选择需要进行控制的命令,云堡垒机目前支持选择如下命令: SELECT、INSERT、UPDATE、DELETE、TRUNCATE、CREATE、DROP、ALTER、GRANT、REVOKE。 | SELELCT |
| SQL库名 | 填写命令生效的SQL库名。 | Test |
| SQL表名 | 填写命令生效的SQL表名。 | Test |
| 风险等级 | 选择该命令组的风险等级,共可选5个等级。 | 普通 |
命令组后续操作
修改命令组:选择需要修改的命令组,单击“操作”列中“编辑”,按照需求进行命令组数据的修改,单击“提交”完成命令组数据更新。
删除命令组:选择需要删除的命令组,单击“操作”列中“删除”,在弹出的对话框中单击“确定”即可删除命令组。
注意
删除后的命令组不可恢复,并且若命令组已绑定命令授权规则会导致该命令规则失效,请谨慎操作。
新增命令授权规则
1.使用“管理角色”账户登录云堡垒机(原生版)控制台。
2.在左侧导航栏选择“授权管理 > 数据库命令授权”,进入“命令授权”页面。
3.单击“新增”,开始新增字符命令授权。
| 参数 | 参数说明 | 取值样例 |
|---|---|---|
| 授权规则名称 | 自定义资产访问授权的规则名称。 | Test |
| 启用状态 | 选择该授权规则的启用状态,默认启用。 | |
| 用户 | (可选)选择需要配置访问授权的用户。 | - |
| 用户组 | (可选)选择需要配置访问授权的用户组。 若您选择的用户和用户组存在重合,默认取最大的合集。 | - |
| 资产 | (可选)选择需要配置访问授权的资产。 | - |
| 资产组 | (可选)选择需要配置访问授权的资产组。 若您选择的资产和资产组存在重合,默认取最大的合集。 | - |
| 资产账号 | 选择命令授权规则生效的资产账号,添加资产账号请参见:资产账号章节。 | - |
| 敏感命令 | 选择需要进行控制的命令组,并填写优先级,优先级范围:1-100,数字越小优先级越高。 | - |
| 授权时间 | 选择该规则生效的时间段。 | - |
说明
- 配置时至少需要关联至少一个授权对象,否则这条命令策略不起作用,其余未关联的表示对所有生效;
- 以基础设施访问授权时,账号必须拥有该基础设施访问授权的访问权限策略才会生效。
后续操作
启用/禁用授权规则:可单个或批量启用/禁用授权规则,禁用的授权规则状态将更新为“无效”,启用的授权规则状态更新为“有效”,只有状态为“有效”的规则授权会生效。
编辑授权规则:选择需要修改的规则,单击“操作”列的“编辑”,按照需求进行命令授权数据的修改,单击“提交”完成命令授权数据更新。
删除授权规则:在需要删除的授权数据的“操作”列单击“删除”,在弹出的对话框中单击“确定”完成删除。
