DMS的行级管控旨在对数据表进行横向数据安全保护,当用户访问受管控的行,需要有对应的行权限。

准备工作

本示例以poc_prod数据库为例,具体操作,请参见结构设计

设置行级管控

  1. 以管理员账号登录DMS控制台
  2. 在页面顶部,选择全部功能 > 系统管理 > 安全管理 > 敏感数据管理
  3. 单击左侧的行级管控
  4. 单击添加管控组,并在弹窗中配置如下参数。
    添加管控组
    配置项 说明
    管控组 输入管控组名称。
    行配置 输入待管控的字段。依次选择待管控的行所属的数据库、表以及字段,本示例为poc_prod库中的data_modify表的性别(sex)字段。
    说明 您可以单击上方的添加,增加多个字段。
  5. 单击添加
  6. 在目标管控组右侧,单击详情
  7. 管控值详情面板,单击添加行值,即添加待管控的目标值。
  8. 导入行值窗口中,配置如下参数。
    增加行值
    配置项 说明
    是否追加 当前支持的取值如下:
    • :本次导入将在现有的行值列表上继续新增。
    • :本次导入将会覆盖原来的行值列表。
    行值内容 增加管控的行值。本示例增加的内容为男,女,系统将会sex = 男sex = 女数据管控起来,没有权限的用户将无法查询相关数据,且后续开发人员可按需申请sex = 男sex = 女的行级访问权限。
    说明 支持批量输入,需要以英文逗号(,)分开。
  9. 单击导入
    您已完成配置完成性别(sex)字段的管控值。

申请行权限

所有用户(包含管理员与DBA)在未申请受管控的行权限前,均无法查询该行的数据。本示例以普通用户申请行权限为例进行介绍。

  1. 以普通用户账号登录DMS控制台
  2. 在页面顶部,选择全部功能 > 权限 > 行-权限
  3. 权限申请工单页面,输入poc_prod数据库,选择申请的权限为单值,单击搜索
    搜索行权限
    说明 权限说明:
    • 所有:申请该字段所有值的权限,申请该权限后能访问该字段的所有值。
    • 单值:申请该字段部分值的权限。
  4. 选中行值为的目标行,单击添加,将其移动至确认已选择的库/表/列框中。
  5. 选择权限区域,配置以下信息,并单击提交申请
    配置项 说明
    权限类型 请按需申请查询导出变更权限。
    说明 支持多选。
    期限 请按需选择您的申请期限。
    申请原因 请输入申请原因及背景,以减少审批流程中的沟通成本。
    说明 提交申请后,请等待审批通过,您可以在工作台的首页,查看权限申请工单的审核进度。
  6. 待审批完成后,在SQL Console中查询行级管控数据。

    仅能查询sex = 男的数据。

    能查询sex=男的数据

    无权限查询sex = 女的数据。

    无法查询sex=女的数据