用户指南—账号和安全—三权分立—功能介绍-阿里云开发者社区

开发者社区> -技术小能手-> 正文

用户指南—账号和安全—三权分立—功能介绍

简介: PolarDB-X新增三权分立模式,您可以将高权限账号拥有的权限分给系统管理员、安全管理员和审计管理员这3个角色,避免因权限高度集中带来的风险,增强数据库的安全性。
+关注继续查看

风险与解决方案

  • 风险传统数据库运维模式下,数据库管理员DBA(Database Administrator)拥有的权限过高且集中,容易在某些场景下给业务带来风险:
    • DBA误判导致系统安全事故。
    • DBA出于某种目的进行非法操作。
    • DBA、第三方外包人员或程序开发人员越权访问敏感信息。
  • 解决方案PolarDB-X新增支持三权分立模式,打破传统数据库运维由DBA行使特权的独立控制体系,使得数据库管理员DBA、安全管理员DSA(Department Security Administrator)和审计管理员DAA(Data Audit Administrator)3者的权责更加清晰。其中:
    • 数据库管理员(DBA):只具备DDL(Data Definition Language)权限。
    • 安全管理员(DSA):只具备管理角色(Role)或用户(User)以及为其他账号授予权限的权限。
    • 审计管理员(DAA):只具备查看审计日志的权限。

数据库系统账号的权限对比

下表展示了在默认模式和三权分立模式下,不同数据库系统账号的权限对比。


说明

  • 默认模式下的高权限账号即系统管理员账号。更多关于高权限账号的详情,请参见账号类型
  • 开启或关闭三权分立模式,仅对系统账号(即高权限账号、系统管理员账号、安全管理员账号和审计管理员账号)的权限有影响,普通账号权限不受模式变更的影响。
  • 三权分立模式下,虽然所有系统账号均不具备DML(Data Manipulation Language)、DQL(Data Query Language)或DAL(Data Administration Language)权限,但安全管理员仍然能够将这些权限授予给普通账号。
  • 表中✔️表示具备该权限,❌表示不具备该权限。
权限默认模式三权分立模式
分类说明高权限账号系统管理员账号安全管理员账号审计管理员账号
DDL
  • ALTER TABLE
  • CREATE TABLE
  • CREATE VIEW
  • CREATE INDEX
  • CREATE CCL_RULE
  • DROP VIEW
  • DROP INDEX
  • DROP TABLE
  • TRUNCATE TABLE
✔️✔️
DML
  • DELETE
  • UPDATE
  • INSERT
✔️
DQL
  • SELECT
  • EXPLAIN
DAL
  • SHOW CCL_RULE
  • SHOW INDEX
账号或角色相关账号权限管理

角色权限管理

✔️✔️
查看审计日志查看如下两张表中的审计日志信息:
  • information_schema.polardbx_audit_log
  • information_schema.polardbx_ddl_log
✔️✔️

使用限制

三权分立模式下的系统账号(包括系统管理员账号、安全管理员账号和审计管理员账号)存在如下限制:

  • 不支持对系统账号执行GRANT ROLE或REVOKE ROLE命令。
  • 不支持对系统账号执行GRANT PRIVILEGES 或REVOKE PRIVILEGES命令。
  • 系统账号的密码只能由对应的账号修改,如系统管理员账号的密码仅能由系统管理员账号修改,不能被其他帐号修改。
  • 系统账号均不支持SET DEFAULT ROLE命令。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
用户账号API
User API 名称:1、登录API 功能描述:移动端用户登录请求 调用地址:/api/mobile/login 请求方式:GET 返回类型:JSON API 调用:API 简单身份认证调用方法API 签名认证调用方法(userName paasWord) 请求参数(Headers.
1167 0
PageAdmin Cms网站建设教程安全篇:如何预防管理员账户被被暴力破解
PageAdmin是国内最流行的网站管理系统和自助建站系统之一,全国拥有上千万个网站使用这个系统做网站,占据内容管理系统市场的60%以上的份额,pageadmin被广泛使用的不仅仅是其功能的强大和灵活性,安全性也是很重要的原因。
2826 0
【X-Pack解读】阿里云Elasticsearch X-Pack 安全组件功能详解
阿里云Elasticsearch集成了Elastic Stack商业版的X-Pack组件包,包括安全、告警、监控、报表生成、图分析、机器学习等组件,用户可以开箱即用。接下来小编将在【X-Pack解读】系列里解读各个Elasticsearch X-Pack 组件功能。
8870 0
1280
文章
0
问答
来源圈子
更多
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载