数据库控制策略是用于拦截数据库会话敏感操作,实现数据库运维操作的细粒度控制。
新建数据库控制策略
授权用户登录策略关联的数据库资源,当数据库运维会话触发规则,将会拦截数据库会话操作。
数据库控制策略支持以下功能项:
1 支持按策略列表页策略排序区分优先级,排序越靠前优先级越高。
2 支持控制允许执行、拒绝执行、断开连接、动态授权四种命令动作。
- 允许执行:默认允许执行所有操作。当触发策略规则后,放行规则集中操作。
- 拒绝执行:触发该策略规则后,拒绝执行该操作,界面提示“操作“xxx”已被拦截”。
- 断开连接:触发该策略规则后,拒绝执行该操作,断开会话连接,界面提示“本次连接已被管理员强制断开!”
- 动态授权:触发该策略规则后,拒绝执行该操作,界面提示“操作“xxx”已被拦截,请提交数据库授权工单申请动态授权”,同时生成数据库授权工单。用户需提交工单,并审核通过后,才能继续执行该命令。
约束限制
- 仅专业版云堡垒机支持数据库运维操作审计。
- 仅针对MySQL和Oracle类型数据库,支持通过数据库控制策略设置操作细粒度控制。
前提条件
已获取“数据库控制策略”模块操作权限。
操作步骤
1 登录云堡垒机系统。
2 选择“策略 > 数据库控制策略 >策略列表”,进入策略列表页面。
数据库控制策略页面
3 单击“新建”,弹出策略基本信息配置窗口。
选择一个策略,单击“更多 > 插入”,亦可新建数据库控制策略。配置完成后,在已创建的策略前新建一个策略。
4 配置策略基本信息。
策略基本信息参数说明
| 参数 | 说明 |
|---|---|
| 策略名称 | 自定义的数据库控制策略名称,系统内“策略名称”不能重复。 |
| 执行动作 | 策略控制用户在数据库的执行动作。 包括“断开连接”、“拒绝执行”、“动态授权”、“允许执行”。 断开连接:当数据库运维会话执行策略生效的命令时,直接断开会话。 拒绝执行:当数据库运维会话执行策略生效的命令时,直接拒绝命令的执行。 动态授权:当数据库运维会话执行策略生效的命令时,直接拒绝命令的执行,需要向管理员提交审批,管理员通过之后才能执行。 允许执行:当数据库运维会话执行策略生效的命令时,允许执行。 |
| 有效期 | 策略生效时间和策略的失效时间。 |
| 时间限制 | 限制策略的生效时间段。 |
5 单击“下一步”,关联规则集。
选择规则集。详细规则集说明请参见下文管理规则集。
选择规则集
6 单击“下一步”,关联用户或用户组,选择用户或用户组。
当用户组关联策略后,新用户加入到用户组中会自动继承用户组的策略权限。
选择用户
7 单击“下一步”,关联资源账户或帐户组,选择数据库资源账户或帐户组。
当帐户组关联策略后,新帐户加入到帐户组中会自动继承帐户组的策略权限。
选择资源账户
8 单击“确定”,返回策略列表页面,查看新建的数据库控制策略。
用户在运维过程中,触发策略规则,即会被限制相关操作。
“关联用户”和“关联用户组”中用户需提交数据库授权工单权限,即已配置拥有数据库授权工单权限的“角色”。否则用户登录系统后无法查看数据库授权工单模块,不能提交工单获取权限。
后续管理
数据库控制策略创建完成后,可在策略列表页面,管理已创建策略,包括管理关联用户或资源、删除策略、启停策略、策略排序等。
- 若需补充关联用户或资源,可单击“关联”,快速关联用户、用户组、资源账户、帐户组。
- 若需删除策略,可选择目标策略,单击“删除”,立即删除策略。
- 若需禁用策略授权,可勾选一个或多个“已启用”状态的策略,单击“禁用”,策略状态变更为“已禁用”,策略授权立即失效。
- 若需排序策略优先等级,可选中策略行上下拖动策略,改变策略排序。
查询和修改数据库控制策略
若数据库控制策略有变更,例如运维人员有变动,授权资源权限有变化等。可查看和修改已创建的策略配置,包括修改策略基本信息、修改关联规则集、修改关联用户或用户组、修改关联资源账户或帐户组等。
- 修改策略配置,且策略状态为“已启用”时,策略规则才生效。
- 修改策略配置后,若关联用户已登录资源,需退出登录重新连接,相关策略规则在下一次运维操作时才会生效。
前提条件
已获取“数据库控制策略”模块操作权限。
操作步骤
1 登录云堡垒机系统。
2 选择“策略 > 数据库控制策略”,进入数据库控制策略列表页面。
3 查询数据库控制策略。
- 快速查询:在搜索框中输入关键字,根据策略名称、用户、资源名称、主机地址、资源账户、规则集名称等快速查询策略。
- 高级搜索:在相应属性搜索框中分别关键字,精确查询策略。
4 单击目标策略名称,或者单击“管理”,进入策略详情页面。
5 查看和修改策略基本信息。
在“基本信息”区域,单击“编辑”,弹出基本信息编辑窗口,即可修改策略的基本信息。
可修改信息包括“策略名称”、“有效期”、“执行动作”、“时间限制”等。
查看策略基本信息
6 查看和修改策略关联的规则集。
- 在“规则集”区域,单击“编辑”,弹出关联规则集窗口,可立即添加或移除关联的规则集。
- 在相应规则集行,单击“移除”,可立即删除该关联规则集。
查看关联规则集
7 查看和修改策略关联的用户。
- 在“用户”区域,单击“编辑”,弹出关联用户窗口,可立即添加或移除关联的用户。
- 在相应用户行,单击“移除”,可立即删除该关联用户,取消授权。
查看关联用户
8 查看和修改策略关联的用户组。
- 在“用户组”区域,单击“编辑”,弹出关联用户组窗口,可立即添加或移除关联的用户组。
- 在相应用户组行,单击“移除”,可立即删除该关联用户组,取消授权。
查看关联用户组
9 查看和修改策略关联的资源账户。
- 在“资源账户”区域,单击“编辑”,弹出关联资源账户窗口,可立即添加或移除关联的资源账户。
- 在相应资源账户行,单击“移除”,可立即删除该资源账户,取消授权。
查看关联资源账户
10 查看和修改策略关联的帐户组。
- 在“帐户组”区域,单击“编辑”,弹出关联帐户组窗口,可立即添加或移除关联的帐户组。
- 在相应帐户组行,单击“移除”,可立即删除该帐户组,取消授权。
查看关联帐户组
管理规则集
为简化添加大量数据库规则的繁琐操作,可通过创建规则集并添加规则。
云堡垒机预置29种常见数据库操作命令,包括ALTER、TRUNCATE、EXECUTE、INSERT、DELETE、UPDATE、SELECT、GRANT、REVOKE、HANDLER、DEALLOCATE、SET、COMMIT、ROLLBACK、PREPARE、CREATEINDEX、DROPINDEX、CREATEFUNCTION、DROPFUNCTION、CREATEVIEW、DROPVIEW、CREATEDATABASE、DROPDATABASE、CREATEPROCEDURE、DROPPROCEDURE、DROPPROCEDURE、CREATETABLE、DROPTABLE、CALL、ACCESS。
本小节主要介绍如何新建关联规则集、查看规则集、修改规则集、删除复制集。
前提条件
已获取“数据库控制策略”模块操作权限。
操作步骤
1 登录云堡垒机系统。
2 选择“策略 > 数据库控制策略 > 规则集”,进入规则集列表页面。
规则集列表
3 创建规则集。
单击“新建”,弹出规则集基本信息配置窗口。
配置规则集名称和选择协议。
- 系统内“规则集名称”不能重复。
目前仅支持选择MySQL和Oracle两种数据库协议类型,且选定后不可修改。
单击“确定”,返回规则集列表页面,查看新建的规则集。
新建规则集
4 添加规则。
在目标规则集行,单击“操作”列的“添加规则”,弹出添加规则窗口。
添加规则集的库、表和命令规则。
添加规则参数说明
| 参数 | 说明 |
|---|---|
| 库 | 可选项,支持正则表达式匹配库名。 缺省状态下表示将会拦截所有使用该命令的sql语句。 |
| 表 | 可选项,支持正则表达式匹配表名。 缺省状态下表示将会拦截所有使用该命令的sql语句。 |
| 命令 | 必选项,必须选择一条预置命令。 目前支持选择29种命令,同时可选择多条命令。 |
单击“确定”,规则添加完成。
添加规则
操作步骤
1 登录云堡垒机系统。
2 选择“策略 > 数据库控制策略 > 规则集”,进入规则集列表页面。
规则集列表
3 查询规则集。
快速查询:在搜索框中输入关键字,根据规则集名称快速查询策略。
4 单击规则集名称,或者单击“管理”,进入规则集详情页面。
规则集详情
5 查看和修改规则集基本信息。
在“基本信息”区域,单击“编辑”,弹出基本信息编辑窗口,即可修改规则集的基本信息。
可修改信息包括“规则集名称”,“协议”、“部门”不可修改。
6 查看和修改规则。
- 在“规则”区域,单击“添加”,弹出添加规则窗口,可立即添加库、表、命令规则。
- 单击“移除”,可立即删除该规则。
查看规则集
删除规则集
1 登录云堡垒机系统。
2 选择“策略 > 数据库控制策略 > 规则集”,进入规则集列表页面。
3 单击指定规则集“操作”列的“删除”,可删除该规则集。
4 同时勾选多个规则集,单击列表下方的“删除”,可以批量删除多个规则集。
