背景

數據庫資產作為企業各類經營業務數據的承載體，其重要性不言而喻。企業的核心業務數據往往是私密且敏感的，如何有效防護數據庫資產安全，防止越權訪問、違規操作以及進一步導致數據泄露等事件發生，成為企業在數據安全防護工程建設中重點關注的一項內容。傳統數據庫審計或數據庫防火墻產品可審計及控制操作，但很難實名到自然人操作。

天翼云堡壘機支持數據庫資產的運維管控，支持多種類型數據庫運維，如MySQL、PostgreSQL、Oracle等協議類型數據庫，支持自然人、數據庫資源的操作關聯，以滿足不同用戶使用需求。

數據庫運維流程

管理員先將數據庫納入堡壘機進行管理，將資產訪問權限分配給相關運維人員，運維人員登錄系統，在資產訪問頁面觸發“本地訪問初始化”，系統會將運維訪問策略下發到本地，初始化成功后，運維人員打開本地客戶端連接資產進行訪問運維。整個運維流程，從建立連接到資產中的操作詳情，都將在堡壘機中實現管控審計。

前提條件

• 已在本地安裝數據庫訪問客戶端，如Navicat、DBeaver等。

• 已將數據庫資產納入堡壘機進行管理。

• 已獲取相關資產訪問權限。

操作步驟

管理員將數據庫資產納入堡壘機進行管理

1. 管理員登錄堡壘機。

2. 左側菜單選擇“資產管理>資產”。

3. 在資產管理界面點擊“新增”，彈出資產信息輸入窗口，按界面各項屬性引導輸入相關信息后提交即可。
   

管理員對數據庫資產進行授權

1. 左側菜單選擇“授權管理>資產訪問授權”，在基礎設施訪問授權標簽頁中點擊“新增”后，切換至授權配置頁。

2. 按授權引導屬性配置運維人員（主賬號）和數據庫資產的關聯關系，授權后，即表示配置中的運維人員有權限訪問配置關聯的資產。
   

運維人員觸發“本地訪問初始化”進行運維

1. 運維人員登錄堡壘機。

2. 左側菜單選擇“資產訪問”。

3. 在資產訪問頁面，點擊“本地訪問初始化”后，系統后臺將策略下發到本地，下發成功后將彈出提示。

4. “本地訪問初始化”成功后，運維人員即可按使用習慣打開本地客戶端，輸入資產地址、賬戶、密碼連接資產進行運維。

數據庫運維審計

1. 審計管理員登錄堡壘機。

2. 左側菜單選擇“資源會話審計>數據庫審計”。

3. 在數據庫審計頁面查看運維會話記錄。