數據庫控制策略是用于攔截數據庫會話敏感操作，實現數據庫運維操作的細粒度控制。

新建數據庫控制策略

授權用戶登錄策略關聯的數據庫資源，當數據庫運維會話觸發規則，將會攔截數據庫會話操作。

數據庫控制策略支持以下功能項：

1 支持按策略列表頁策略排序區分優先級，排序越靠前優先級越高。

2 支持控制允許執行、拒絕執行、斷開連接、動態授權四種命令動作。

• 允許執行：默認允許執行所有操作。當觸發策略規則后，放行規則集中操作。
• 拒絕執行：觸發該策略規則后，拒絕執行該操作，界面提示“操作“xxx”已被攔截”。
• 斷開連接：觸發該策略規則后，拒絕執行該操作，斷開會話連接，界面提示“本次連接已被管理員強制斷開！”
• 動態授權：觸發該策略規則后，拒絕執行該操作，界面提示“操作“xxx”已被攔截，請提交數據庫授權工單申請動態授權”，同時生成數據庫授權工單。用戶需提交工單，并審核通過后，才能繼續執行該命令。

約束限制

• 僅專業版云堡壘機支持數據庫運維操作審計。
• 僅針對MySQL和Oracle類型數據庫，支持通過數據庫控制策略設置操作細粒度控制。

前提條件

已獲取“數據庫控制策略”模塊操作權限。

操作步驟

1 登錄云堡壘機系統。

2 選擇“策略 > 數據庫控制策略 >策略列表”，進入策略列表頁面。

數據庫控制策略頁面

3 單擊“新建”，彈出策略基本信息配置窗口。

選擇一個策略，單擊“更多 > 插入”，亦可新建數據庫控制策略。配置完成后，在已創建的策略前新建一個策略。

4 配置策略基本信息。

策略基本信息參數說明

參數	說明
策略名稱	自定義的數據庫控制策略名稱，系統內“策略名稱”不能重復。
執行動作	策略控制用戶在數據庫的執行動作。 包括“斷開連接”、“拒絕執行”、“動態授權”、“允許執行”。 斷開連接：當數據庫運維會話執行策略生效的命令時，直接斷開會話。 拒絕執行：當數據庫運維會話執行策略生效的命令時，直接拒絕命令的執行。 動態授權：當數據庫運維會話執行策略生效的命令時，直接拒絕命令的執行，需要向管理員提交審批，管理員通過之后才能執行。 允許執行：當數據庫運維會話執行策略生效的命令時，允許執行。
有效期	策略生效時間和策略的失效時間。
時間限制	限制策略的生效時間段。

5 單擊“下一步”，關聯規則集。

選擇規則集。詳細規則集說明請參見下文管理規則集。

選擇規則集

6 單擊“下一步”，關聯用戶或用戶組，選擇用戶或用戶組。

當用戶組關聯策略后，新用戶加入到用戶組中會自動繼承用戶組的策略權限。

選擇用戶

7 單擊“下一步”，關聯資源賬戶或帳戶組，選擇數據庫資源賬戶或帳戶組。

當帳戶組關聯策略后，新帳戶加入到帳戶組中會自動繼承帳戶組的策略權限。

選擇資源賬戶

8 單擊“確定”，返回策略列表頁面，查看新建的數據庫控制策略。

用戶在運維過程中，觸發策略規則，即會被限制相關操作。

“關聯用戶”和“關聯用戶組”中用戶需提交數據庫授權工單權限，即已配置擁有數據庫授權工單權限的“角色”。否則用戶登錄系統后無法查看數據庫授權工單模塊，不能提交工單獲取權限。

后續管理

數據庫控制策略創建完成后，可在策略列表頁面，管理已創建策略，包括管理關聯用戶或資源、刪除策略、啟停策略、策略排序等。

• 若需補充關聯用戶或資源，可單擊“關聯”，快速關聯用戶、用戶組、資源賬戶、帳戶組。
• 若需刪除策略，可選擇目標策略，單擊“刪除”，立即刪除策略。
• 若需禁用策略授權，可勾選一個或多個“已啟用”狀態的策略，單擊“禁用”，策略狀態變更為“已禁用”，策略授權立即失效。
• 若需排序策略優先等級，可選中策略行上下拖動策略，改變策略排序。

查詢和修改數據庫控制策略

若數據庫控制策略有變更，例如運維人員有變動，授權資源權限有變化等。可查看和修改已創建的策略配置，包括修改策略基本信息、修改關聯規則集、修改關聯用戶或用戶組、修改關聯資源賬戶或帳戶組等。

• 修改策略配置，且策略狀態為“已啟用”時，策略規則才生效。
• 修改策略配置后，若關聯用戶已登錄資源，需退出登錄重新連接，相關策略規則在下一次運維操作時才會生效。

前提條件

已獲取“數據庫控制策略”模塊操作權限。

操作步驟

1 登錄云堡壘機系統。

2 選擇“策略 > 數據庫控制策略”，進入數據庫控制策略列表頁面。

3 查詢數據庫控制策略。

• 快速查詢：在搜索框中輸入關鍵字，根據策略名稱、用戶、資源名稱、主機地址、資源賬戶、規則集名稱等快速查詢策略。
• 高級搜索：在相應屬性搜索框中分別關鍵字，精確查詢策略。

4 單擊目標策略名稱，或者單擊“管理”，進入策略詳情頁面。

5 查看和修改策略基本信息。

在“基本信息”區域，單擊“編輯”，彈出基本信息編輯窗口，即可修改策略的基本信息。

可修改信息包括“策略名稱”、“有效期”、“執行動作”、“時間限制”等。

查看策略基本信息

6 查看和修改策略關聯的規則集。

• 在“規則集”區域，單擊“編輯”，彈出關聯規則集窗口，可立即添加或移除關聯的規則集。
• 在相應規則集行，單擊“移除”，可立即刪除該關聯規則集。

查看關聯規則集

7 查看和修改策略關聯的用戶。

• 在“用戶”區域，單擊“編輯”，彈出關聯用戶窗口，可立即添加或移除關聯的用戶。
• 在相應用戶行，單擊“移除”，可立即刪除該關聯用戶，取消授權。

查看關聯用戶

8 查看和修改策略關聯的用戶組。

• 在“用戶組”區域，單擊“編輯”，彈出關聯用戶組窗口，可立即添加或移除關聯的用戶組。
• 在相應用戶組行，單擊“移除”，可立即刪除該關聯用戶組，取消授權。

查看關聯用戶組

9 查看和修改策略關聯的資源賬戶。

• 在“資源賬戶”區域，單擊“編輯”，彈出關聯資源賬戶窗口，可立即添加或移除關聯的資源賬戶。
• 在相應資源賬戶行，單擊“移除”，可立即刪除該資源賬戶，取消授權。

查看關聯資源賬戶

10 查看和修改策略關聯的帳戶組。

• 在“帳戶組”區域，單擊“編輯”，彈出關聯帳戶組窗口，可立即添加或移除關聯的帳戶組。
• 在相應帳戶組行，單擊“移除”，可立即刪除該帳戶組，取消授權。

查看關聯帳戶組

管理規則集

為簡化添加大量數據庫規則的繁瑣操作，可通過創建規則集并添加規則。

云堡壘機預置29種常見數據庫操作命令，包括ALTER、TRUNCATE、EXECUTE、INSERT、DELETE、UPDATE、SELECT、GRANT、REVOKE、HANDLER、DEALLOCATE、SET、COMMIT、ROLLBACK、PREPARE、CREATEINDEX、DROPINDEX、CREATEFUNCTION、DROPFUNCTION、CREATEVIEW、DROPVIEW、CREATEDATABASE、DROPDATABASE、CREATEPROCEDURE、DROPPROCEDURE、DROPPROCEDURE、CREATETABLE、DROPTABLE、CALL、ACCESS。

本小節主要介紹如何新建關聯規則集、查看規則集、修改規則集、刪除復制集。

前提條件

已獲取“數據庫控制策略”模塊操作權限。

操作步驟

1 登錄云堡壘機系統。

2 選擇“策略 > 數據庫控制策略 > 規則集”，進入規則集列表頁面。

規則集列表

3 創建規則集。

單擊“新建”，彈出規則集基本信息配置窗口。

配置規則集名稱和選擇協議。

• 系統內“規則集名稱”不能重復。

目前僅支持選擇MySQL和Oracle兩種數據庫協議類型，且選定后不可修改。

單擊“確定”，返回規則集列表頁面，查看新建的規則集。

新建規則集

4 添加規則。

在目標規則集行，單擊“操作”列的“添加規則”，彈出添加規則窗口。

添加規則集的庫、表和命令規則。

添加規則參數說明

參數	說明
庫	可選項，支持正則表達式匹配庫名。 缺省狀態下表示將會攔截所有使用該命令的sql語句。
表	可選項，支持正則表達式匹配表名。 缺省狀態下表示將會攔截所有使用該命令的sql語句。
命令	必選項，必須選擇一條預置命令。 目前支持選擇29種命令，同時可選擇多條命令。

單擊“確定”，規則添加完成。

添加規則

操作步驟

1 登錄云堡壘機系統。

2 選擇“策略 > 數據庫控制策略 > 規則集”，進入規則集列表頁面。

規則集列表

3 查詢規則集。

快速查詢：在搜索框中輸入關鍵字，根據規則集名稱快速查詢策略。

4 單擊規則集名稱，或者單擊“管理”，進入規則集詳情頁面。

規則集詳情

5 查看和修改規則集基本信息。

在“基本信息”區域，單擊“編輯”，彈出基本信息編輯窗口，即可修改規則集的基本信息。

可修改信息包括“規則集名稱”，“協議”、“部門”不可修改。

6 查看和修改規則。

• 在“規則”區域，單擊“添加”，彈出添加規則窗口，可立即添加庫、表、命令規則。
• 單擊“移除”，可立即刪除該規則。

查看規則集

刪除規則集

1 登錄云堡壘機系統。

2 選擇“策略 > 數據庫控制策略 > 規則集”，進入規則集列表頁面。

3 單擊指定規則集“操作”列的“刪除”，可刪除該規則集。

4 同時勾選多個規則集，單擊列表下方的“刪除”，可以批量刪除多個規則集。