- 从这里开始
- 产品简介
- 产品定价
- 功能总览
- 权限
- SQLConsole
- 数据方案
- 数据工厂
- 库表管理
- 优化
- 系统管理
- 实例管理
- 安全管理
- 数据库实验室
- 工单管理
- API参考
- 最佳实践
- 视频专区
- DMS个人版文档(旧)
- 通用参考
全部产品
弹性计算
存储服务
数据库
- PolarDB MySQL 云原生数据库
- 云数据库 RDS
- 云原生分布式数据库 PolarDB-X
- 云数据库 Redis
- 云数据库 MongoDB
- 云数据库 Cassandra
- 时序时空数据库 TSDB
- 云数据库 HBase
- 图数据库 GDB
- 云数据库 Memcache
- 云原生数据仓库 AnalyticDB MySQL 版
- 云原生数据仓库 AnalyticDB PostgreSQL 版
- HybridDB for MySQL
- 数据管理 DMS
- 数据库自治服务 DAS
- 数据库备份 DBS
- 数据传输服务 DTS
- 数据库和应用迁移服务 ADAM
- 数据库专家服务
- 云数据库 OceanBase
- 数据库网关 DG
- 云数据库专属集群
- 云数据库 ClickHouse
- 可信账本数据库 LedgerDB
- 数据湖分析 DLA
- PolarDB-O 云原生数据库
- PolarDB Postgresql 云原生数据库
网络
应用服务
互联网中间件
移动研发平台EMAS-专有云
安全
大数据
人工智能
物联网
物联网行业方案
云市场
API与工具
数据管理DMS提供的SQL窗口支持关系型数据库和非关系型数据库,安全规则的定义和分类各不相同。本文档介绍Redis数据库的SQL窗口安全规则。
检测点
SQL权限规范:对SQL执行权限进行约束。
如提交者是否拥有对应的库、表、列权限。
keys命令规范:可对key命令执行进行约束。
string命令规范:可对string命令进行约束。
list命令规范:可对list命令进行约束。
set命令规范:可对set命令进行约束。
sortedset命令规范:可对sortedset命令进行约束。
hash命令规范:可对hash命令进行约束。
其他命令规范:可对其他命令进行约束。
您可以使用安全规则模板库中提供的规则,也可以自定义新增规则。详情请参见新增规则操作步骤。
检测点流程图
DMS支持的SQL
目前DMS企业版能够通过语法解析识别的SQL大类和SQL子类说明如下:
| 命令分类 | 具体类型枚举 |
|---|---|
| kes命令 | keys读命令:
|
| string命令 | string读命令:
|
| list命令 | list读命令:
|
| set命令 | set读命令:
|
| sortedset命令 | sortedset读命令:
|
| hash命令 | hash读命令:
|
| 其他命令 | 暂时没有。 |
| @fac.user_is_inst_dba | 当前用户是否为当前实例的DBA。取值为:
|
因子和动作
因子:因子是系统内置变量,可用来获取安全规则校验的上下文信息,如获取SQL类型、影响行数等。因子全部以
@fac.开头,后接因子名称。每个模块的不同检测点均提供不同因子,SQL窗口中提供因子的说明请参见下表:因子名 说明 @fac.cmd_type 命令类型,取值请参见DMS支持的SQL。 @fac.env_type 环境类型,值是环境标识。如: DEV、PRODUCT。详情请参见实例环境说明。@fac.is_read 是否为读命令。取值为: - true
- false
@fac.is_write 是否为写命令。取值为: - true
- false
@fac.current_sql 当前的SQL。 @fac.user_is_admin 当前用户是否为管理员。取值为: - true
- false
@fac.user_is_dba 当前用户是否为DBA。取值为: - true
- false
@fac.user_is_inst_dba 当前用户是否为当前实例的DBA。取值为: - true
- false
动作:动作是满足
if条件之后系统执行的行为,例如禁止提交工单、选择工作流、允许执行、拒绝执行等,这些动作表达了安全规则的主要目的。动作全部以@act.开头,后接动作名称。每个模块的不同检测点均提供不同动作,SQL窗口中提供动作的说明请参见下表:动作名 说明 @act.reject_execute 拒绝执行当前SQL。 @act.allow_execute 允许执行当前SQL。
模板库
安全规则提供了大量的规则模板可直接选择启用,也可以在模板基础上按照实际需求自行调整启用。SQL窗口中的模板如下所示:
| 检测点 | 模板 |
|---|---|
| 执行权限规范 | 普通用户需要检查权限。 |
| 所有用户都不需要检查权限。 | |
| 命令规范-Keys | 测试环境,允许执行Key读命令(白名单集合)。 |
| 生产环境,允许执行Key读命令(白名单集合)。 | |
| 生产环境,允许执行Key写命令(白名单集合)。 | |
| 命令规范-String | 测试环境,允许执行String读命令(白名单集合)。 |
| 生产环境,允许执行String读命令(白名单集合)。 | |
| 生产环境,允许执行String写命令(白名单集合)。 | |
| 命令规范-List | 测试环境,允许执行List读命令(白名单集合)。 |
| 生产环境,允许执行List读命令(白名单集合)。 | |
| 生产环境,允许执行List写命令(白名单集合)。 | |
| 命令规范-SET | 测试环境,允许执行Set读命令(白名单集合)。 |
| 生产环境,允许执行Set读命令(白名单集合)。 | |
| 生产环境,允许执行Set写命令(白名单集合)。 | |
| 命令规范-SortedSet | 测试环境,允许执行SortedSet读命令(白名单集合)。 |
| 生产环境,允许执行SortedSet读命令(白名单集合)。 | |
| 生产环境,允许执行SortedSet写命令(白名单集合)。 | |
| 命令规范-Hash | 测试环境,允许执行Hash读命令(白名单集合)。 |
| 生产环境,允许执行Hash读命令(白名单集合)。 | |
| 生产环境,允许执行Hash写命令(白名单集合)。 | |
| 命令规范-其他 | 测试环境,允许执行其他读命令(白名单集合)。 |
| 测试环境,允许执行其他写命令(白名单集合)。 | |
| 生产环境,允许执行Hash读命令(白名单集合)。 | |
| 生产环境,允许执行Hash写命令(白名单集合)。 |
新增规则操作步骤
登录DMS控制台。
在页面顶部的导航栏中,单击系统管理 > 安全管理 > 安全规则。
在安全规则页签中,单击目标规则集右侧操作列中的编辑。
在详情页面左侧的导航栏中,单击SQL窗口。
在SQL窗口页签中,单击操作右侧的新增规则。
在新增规则 - SQL窗口对话框中,设置如下参数:
参数 说明 检测点(必选) 选择需要增加规则的检测点。检测点的详情请参见检测点。 模板库(可选) 安全规则模板库中提供了大量规则模板,选择了检测点以后,您可以从模板库中按需加载规则模板。可选的模板库列表请参见模板库。 规则名称(必填) 自定义规则名称。(如您在模板库中选择了规则模板,此处会自动填充。) 规则DSL(必填) 填写规则DSL,DSL语法请参见安全规则DSL语法。如您在模板库中选择了规则模板,此处会自动填充。 单击提交。
新增的规则默认处于已禁用状态,单击规则右侧操作列中的启用。
在弹出的对话框中单击确认。
相关产品
-
数据管理 DMS
数据管理(Data Management)支持MySQL、SQL Server、PostgreSQL、PPAS、Petadata等关系型数据库,DRDS等OLTP数据库,ADS、DLA等OLAP数据库和MongoDB、Redis等NoSQL的数据库管理,同时还支持Linux服务器管理。它是一种集数据管理、结构管理、用户授权、安全审计、数据趋势、数据追踪、BI图表、性能与优化和服务器管理于一体的数据管理服务。用户使用数据管理服务实现易用的数据库和服务器统一管理入口,让数据更安全、管理更高效、数据价值更清晰。
-
云数据库 RDS
阿里云关系型数据库(Relational Database Service,简称RDS)是一种稳定可靠、可弹性伸缩的在线数据库服务。基于阿里云分布式文件系统和SSD盘高性能存储,RDS支持MySQL、SQL Server、PostgreSQL、PPAS(Postgre Plus Advanced Server,高度兼容Oracle数据库)和MariaDB引擎,并且提供了容灾、备份、恢复、监控、迁移等方面的全套解决方案,彻底解决数据库运维的烦恼。
-
数据传输服务 DTS
数据传输(Data Transmission)是阿里云提供的一种支持RDBMS(关系型数据库)、NoSQL、OLAP等多种数据源之间数据交互的数据服务。它提供了数据迁移、实时数据订阅及数据实时同步等多种数据传输能力。通过数据传输可实现不停服数据迁移、数据异地灾备、跨境数据同步、缓存更新策略等多种业务应用场景,助您构建安全、可扩展、高可用的数据架构。
以上内容是否对您有帮助?
感谢您的打分,是否有意见建议想告诉我们?
感谢您的反馈,反馈我们已经收到
文档反馈
文档反馈
在文档使用中是否遇到以下问题
更多建议
匿名提交