与DAS标准版相比,华为云DAS服务企业版更重视数据库访问和操作安全,以及程序员、DBA、企业管理者之间的沟通和协作,基于权限最小化控制和审批流程机制,提供数据保护、变更审核、操作审计、研发自助化等数据库DevOps平台,帮助企业实现大规模数据库下的标准化、规范化、高效率、超安全的管理手段,更适用于企业用户。
按用户角色划分审批权限
华为云DAS服务企业版最核心的特性是对数据库的变更进行流程化、审批化的管理,避免开发人员接触数据库的登录名和密码,随意通过客户端工具进行SQL变更,从系统源头护航企业数据库安全。
针对数据变更,华为云DAS服务企业版根据使用对象的不同,有层次、有目的地开放使用者的权限,并对使用者进行严格的权限管理。为此,华为云DAS服务企业版精心设计了系统管理员、DBA、普通开发人员等3大用户角色,每种角色根据自身对应的权限来执行相关操作。
- 系统管理员
系统管理员通常是企业的管理者,负责数据库用户管理,添加相关DBA和开发人员的华为云账号到当前企业里面来。
- DBA
DBA主要负责录入实例,定义每个实例或者库的相关操作的审批流程,对开发人员的变更工单进行审批。系统管理员添加至少一位DBA之后,DBA即可在数据库自定义权限审批流程。系统初始化会默认有2个审批流程,每个审批节点可以由某个角色(如系统管理员、DBA、Owner)或者是某个具体的人进行审批。
审批流程定义好之后,由DBA统一录入数据库实例,普通开发者和员工不接触数据库登录名和密码。华为云DAS服务企业版支持系统自定义库权限申请、数据及结构变更、运维操作、导出操作、高危操作等5类操作的审批流程,尤其对于删库、删表、truncate 这些永久性的物理删除操作,提供了更严格的权限管理和控制,至少需要经过业务owner、DBA、系统管理员三个角色审批完成才可以执行,能有效避免删库跑路的发生,全面保障了企业核心数据资产的安全。
实例录入完成之后,由DBA将全局的OBS桶给设置好。全局OBS桶是用来存放当前企业下的所有数据变更工单的备份文件和数据导出工单的导出文件,其它企业用户无权限进行访问,以此保障客户数据安全。
普通用户
华为云DAS服务企业版赋权严格,普通开发人员如需执行相关操作,须申请相关SQL操作的库对应的操作权限,在对应操作审批人审批通过后,才可以对库进行相关操作。
企业版还特别设计了数据库Owner角色,即业务方的主管,主要负责库业务小组成员的权限审批。
9大能力优势
华为云DAS服务企业版自定义的3大用户角色,帮助客户解决了数据访问安全、敏感数据保护、变更风险识别等问题,并基于这3大用户角色精心设计了众多贴合企业客户使用的优秀特性,构筑了高安全、高可用、高效率的服务能力。
- DBA统一录入实例:数据库实例由DBA统一录入,员工不接触数据库登录名和密码,以此避免开发者随意更改SQL语句,确保数据访问安全。
- 自定义权限审批流程:企业DBA可根据企业自身的业务特点和管理诉求,最细粒度到库级别,针对不同的操作,如数据查询、结构变更等,去自定义不同的审批流程。
- 库Owner管理业务成员权限:每个数据库上均定义了一个库Owner的角色,主要给该库相关的业务主管使用,可以对其他人员访问该库时的权限进行管理。
- 操作审计追溯:所有对库的操作(如用户登录、SQL查询、数据变更),均有审计日志记录,均可追溯所有数据库操作行为。
- 灵活定义SQL查询返回的最大行数:根据实际情况,可灵活定义每个库所允许的单次SQL查询返回的最大行数。
- 数据变更时自动备份:做数据变更时,可自动对涉及到改动的行进行数据备份。
- 敏感数据保护:支持敏感字段自动识别并进行打标,员工在执行查询和导出时,对敏感数据进行脱敏显示,有效保护敏感数据安全。
- SQL变更自动识别:自动对变更影响行数进行校验,防止开发人员执行非预期内的SQL语句,有效保护数据安全。
- 降本增效:通过灵活的安全风险控制和审批流程自定义,以及给库上的业务Owner和DBA角色的赋权,将低风险的库变更操作流程下放到业务主管,这样一来,极大降低了企业DBA人力成本,提高了开发效率。
华为云DAS服务企业版致力于打造最懂企业数据管理的服务工具,通过低成本、高效率、更安全的管理方式,助力每一家企业都能充分享受数字时代的红利,让数据实现更大的价值和意义,欢迎各位前来体验。
目前华为云数据库夏日特惠活动火热进行中,新用户0元试用MySQL、PostgreSQL等爆款产品,畅享混合SSD盘超低IO时延。更多活动详情见https://activity.huaweicloud.com/dbs_Promotion/index.html
