背景

数据库资产作为企业各类经营业务数据的承载体，其重要性不言而喻。企业的核心业务数据往往是私密且敏感的，如何有效防护数据库资产安全，防止越权访问、违规操作以及进一步导致数据泄露等事件发生，成为企业在数据安全防护工程建设中重点关注的一项内容。传统数据库审计或数据库防火墙产品可审计及控制操作，但很难实名到自然人操作。

天翼云堡垒机支持数据库资产的运维管控，支持多种类型数据库运维，如MySQL、PostgreSQL、Oracle等协议类型数据库，支持自然人、数据库资源的操作关联，以满足不同用户使用需求。

数据库运维流程

管理员先将数据库纳入堡垒机进行管理，将资产访问权限分配给相关运维人员，运维人员登录系统，在资产访问页面触发“本地访问初始化”，系统会将运维访问策略下发到本地，初始化成功后，运维人员打开本地客户端连接资产进行访问运维。整个运维流程，从建立连接到资产中的操作详情，都将在堡垒机中实现管控审计。

前提条件

• 已在本地安装数据库访问客户端，如Navicat、DBeaver等。
• 已将数据库资产纳入堡垒机进行管理。
• 已获取相关资产访问权限。

操作步骤

管理员将数据库资产纳入堡垒机进行管理

1. 管理员登录堡垒机。
2. 左侧菜单选择“资产管理>资产”。
3. 在资产管理界面点击“新增”，弹出资产信息输入窗口，按界面各项属性引导输入相关信息后提交即可。
   

管理员对数据库资产进行授权

1. 左侧菜单选择“授权管理>资产访问授权”，在基础设施访问授权标签页中点击“新增”后，切换至授权配置页。
2. 按授权引导属性配置运维人员（主账号）和数据库资产的关联关系，授权后，即表示配置中的运维人员有权限访问配置关联的资产。
   

运维人员触发“本地访问初始化”进行运维

1. 运维人员登录堡垒机。
2. 左侧菜单选择“资产访问”。
3. 在资产访问页面，点击“本地访问初始化”后，系统后台将策略下发到本地，下发成功后将弹出提示。
4. “本地访问初始化”成功后，运维人员即可按使用习惯打开本地客户端，输入资产地址、账户、密码连接资产进行运维。

数据库运维审计

1. 审计管理员登录堡垒机。
2. 左侧菜单选择“资源会话审计>数据库审计”。
3. 在数据库审计页面查看运维会话记录。