多用户访问控制
更新时间:2023-12-26
概述
多用户访问控制是指原用户作为子账号的主账号,可以给子账号分配相关产品或实例的操作权限,实现细粒度的权限管理。
例如:给DBA等一线操作人员分配产品级或实例级的数据库审计 DBAudit 运维操作权限,给其他非操作人员分配产品级或实例级的数据库审计 DBAudit 只读权限。
使用场景
- 中大型企业客户:对公司内多个员工授权管理。
- 偏技术型vendor或SAAS的平台商:对代理客户进行资源和权限管理。
- 中小开发者或小企业:添加项目成员或协作者,进行资源管理。
创建子用户
-
主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面。
- 在左侧导航栏点击“用户管理”,在“子用户”页,点击“创建子用户”。
- 在弹出的“创建子用户”对话框中,完成填写“用户名”和确定,返回“子用户管理列表”区可以查看到刚刚创建的子用户。
配置策略
数据库审计 DBAudit 支持系统策略和用户自定义策略两种,分别实现产品级权限和任务级权限控制。
系统策略
系统策略为数据库审计 DBAudit 产品级权限,有产品级管理权限、产品级运维权限和产品级只读权限三种系统策略。权限范围的详细解释如下:
| 策略名称 | 权限说明 | 权限范围 |
|---|---|---|
| DBAuditFullControlPolicy | 数据库审计 DBAudit 的管理权限 | - 审计集群:查看审计集群、新增审计集群、删除审计集群 - 实例:查询实例、添加实例、删除实例 - 操作:绑定策略、变更策略、批量变更策略、开启审计、停止审计 - 审计策略:查看审计策略列表、创建审计策略、编辑审计策略、删除审计策略 - 其他:查看风险威胁统计、查看审计结果、查看会话语句、报表下载 |
| DBAuditOperateAccessPolicy | 数据库审计 DBAudit 的运维权限 | - 审计集群:查看审计集群、新增审计集群 - 实例:查询实例、添加实例 - 操作:绑定策略、变更策略、批量变更策略、开启审计、停止审计 - 审计策略:查看审计策略列表、创建审计策略、编辑审计策略 - 其他:查看风险威胁统计、查看审计结果、查看会话语句、报表下载 |
| DBAuditReadOnlyAccessPolicy | 数据库审计 DBAudit 的只读权限 | 查看审计集群、查询实例、查看审计策略列表、查看风险威胁统计、查看审计结果、查看会话语句、报表下载 |
自定义策略
主用户可以通过点击“策略管理菜单下的创建策略”添加自定义策略来进行任务级权限控制。自定义策略的添加有"按策略生成器创建"和"按策略语法创建"两种方式,用户可以根据具体的权限设置修改策略内容。具体配置方法可以参见创建自定义策略。
自定义权限范围:详情如下
| 权限说明 | 权限范围 |
|---|---|
| 管理权限 | - 审计集群:查看审计集群、删除审计集群 - 实例:查询实例、添加实例、删除实例 - 操作:绑定策略、变更策略、批量变更策略、开启审计、停止审计 - 审计策略:查看审计策略列表、编辑审计策略、删除审计策略 - 其他:查看风险威胁统计、查看审计结果、查看会话语句、报表下载 |
| 运维权限 | - 审计集群:查看审计集群 - 实例:查询实例、添加实例 - 操作:绑定策略、变更策略、批量变更策略、开启审计、停止审计 - 审计策略:查看审计策略列表、编辑审计策略 - 其他:查看风险威胁统计、查看审计结果、查看会话语句、报表下载 |
| 只读权限 | 查看审计集群、查询实例、查看审计策略列表、查看风险威胁统计、查看审计结果、查看会话语句、报表下载 |
说明:
1.自定义策略的管理权限及运维权限不支持新增审计集群、创建审计策略。
2.如需以上操作的权限,请使用产品级的权限来控制。
用户授权
1.在“用户管理菜单下子用户项”的对应子用户的“操作”列选择“添加权限”。
2.在此弹窗中,可以为用户选择"全部策略","系统策略"或"自定义策略"进行授权。
说明:如果在不修改已有策略规则的情况下修改某子用户的权限,只能通过删除已有的策略并添加新的策略来实现,不能取消勾选已经添加过的策略权限。
子用户登录
主账号完成对子用户的授权后,可以将链接发送给子用户;子用户可以通过子用户登录链接登录主账号的管理控制台,根据被授权的策略对主账户资源进行操作和查看。
相关文档
其他操作请参考多用户访问控制。