三、 DMS解决方案
为了提供灵活的权限管理方式,DMS提供了三种实例级别的管控模式,包括自由操作,稳定变更和安全协同。
用户可以根据不同的应用场景,灵活配置不同的管控模式。用户可以在录入实例时选择管控模式,也可以在后期进行更改。不同的管控模式对于实例的管控流程或逻辑不一致,其功能也不同。
自由操作:相当于使用数据工具的数据库管理方式。用户通过账号、密码登录,登录后操作管控较松,不存在更多流程上的审核或管控。自由操作提供包括DML、DDL、数据导入导出、可视化元数据信息、数据追踪等功能。由于自由操作管控较松,只适用于单一用户使用,不适合多用户联动审核流程。
稳定变更:在自由操作基础上为数据库管理提供了更加稳定运行的解决方案,新增了无锁表结构变更、无锁数据变更、SQL审核功能。在数据导出和数据追踪上,稳定变更提高了一些限制,例如导出数据量有所提升,数据追踪时间增加。稳定变更适用于需要数据库实例稳定运行和持续可用性要求较高的场景,适用于小团队多人协同。
安全协同:支持自由操作和稳定变更的所有功能,并在此基础上提供了数据安全和提高效能的功能。安全协同免登录通过授权使用,适用于数据安全要求严格,变更流程强管控及规格管理需求的场景,是企业级数据库管理的首选。
DMS解决方案最佳实践中,数据访问安全最佳实践主要通过授权管理解决方案、敏感数据管理方案、安全规则DSL方案、操作审计实现。
数据变更安全最佳实践主要通过SQL审核、无锁表结构变更方案、无锁表数据变更方案、数据追踪与恢复实现。
随着企业规模提升,数据库使用人员和角色变得越来越复杂,各种访问需求也越来越多,传统DBA管理下单点响应所有人员对数据库访问请求的模式已经无法满足业务需求。数据库账号权限最高只达表对象级别,多人员共用一个账号会带来极大的操作风险。
在数据安全方面,员工离职时,用户需要考虑是否重置账号密码,重置密码还需要考虑是否会引起业务中断。为每个人员单独建立数据库账号会使得系统十分复杂、庞大且难以管理。
传统管理方式中,管理多个数据库需要多个单独的账号权限系统。随着业务的发展,小系统越来越多,仅依靠人力管理已经无法满足业务需求。
DMS通过创建专用高权限账号统一管理账号入口,避免人员直接操作数据库,并在平台内部实现细粒度权限管理,面向阿里云个人账号使用。
除阿里云账号,DMS也支持SSO方式,为使用单点登录系统的企业提供对接方案。比如,对于有微软活动目录的企业,DMS配置完成后,用户登录时浏览器会自动鉴权,授予企业身份管理系统。
DMS内部细粒度权限可达行级别权限,敏感数据可达列级别权限,并支持多种权限类型,包括查询、变更、导出等,时间粒度可精确到小时级别。
员工离职或转岗时,DMS通过注销个人云账号实现账号回收。
DMS还提供了Open API相关功能,方便企业实现自动化管理,例如授权、用户申请、注销等都可以通过Open API实现。
