使用RAM權(quán)限控制配置加密規(guī)則的行為
您可以在RAM控制臺(tái)為DBA或研發(fā)人員設(shè)置權(quán)限策略,以限制其篡改加密規(guī)則的行為。本文介紹了創(chuàng)建權(quán)限策略,以及為用戶或用戶組配置權(quán)限策略的方法。
背景信息
在全密態(tài)PolarMySQL中,PolarDB通過(guò)在控制臺(tái)管理加密規(guī)則的方式對(duì)用戶查詢的內(nèi)容進(jìn)行防護(hù),以防止DBA或研發(fā)人員惡意盜竊數(shù)據(jù),達(dá)到用戶敏感數(shù)據(jù)只為用戶本身所有的目的。但該方案是基于控制臺(tái)來(lái)配置敏感數(shù)據(jù)規(guī)則,而DBA和研發(fā)人員往往也具有阿里云數(shù)據(jù)庫(kù)的控制臺(tái)權(quán)限。如何限制他們惡意篡改控制臺(tái)規(guī)則,讓敏感數(shù)據(jù)規(guī)則配置安全可靠?
為了解決這個(gè)問(wèn)題,您可以使用阿里云RAM系統(tǒng),基于對(duì)RAM用戶的權(quán)限約束來(lái)解決這個(gè)問(wèn)題。即您可以在自己的阿里云賬號(hào)下創(chuàng)建多個(gè)RAM用戶,并將這些RAM用戶分配給研發(fā)人員和DBA。通過(guò)對(duì)RAM用戶的權(quán)限進(jìn)行限制,使相應(yīng)的賬號(hào)不具有篡改控制臺(tái)規(guī)則的權(quán)限。
使用說(shuō)明
創(chuàng)建用戶
登錄RAM控制臺(tái)創(chuàng)建目標(biāo)RAM用戶,具體操作請(qǐng)參見創(chuàng)建RAM用戶。
創(chuàng)建權(quán)限策略
登錄RAM控制臺(tái)。
在左側(cè)導(dǎo)航欄選擇權(quán)限管理>權(quán)限策略,并單擊創(chuàng)建權(quán)限策略。
在可視化編輯頁(yè)面,進(jìn)行如下配置:
將效果設(shè)置為拒絕;
服務(wù)設(shè)置為云原生關(guān)系型數(shù)據(jù)庫(kù)PolarDB;
操作選中寫操作中的
polardb:ModifyMaskingRules
和polardb:DeleteMaskingRules
(可以通過(guò)搜索MaskingRules關(guān)鍵字找到對(duì)應(yīng)操作)。
單擊繼續(xù)編輯基本信息。
設(shè)置權(quán)限策略的名稱,并單擊確定。本文將權(quán)限策略名稱設(shè)置為禁止修改敏感規(guī)則,您可以根據(jù)實(shí)際需要來(lái)命名權(quán)限策略名稱。
配置權(quán)限策略
登錄RAM控制臺(tái)。
在左側(cè)導(dǎo)航欄選擇身份管理>用戶。
找到目標(biāo)用戶,并單擊目標(biāo)用戶對(duì)應(yīng)操作欄的添加權(quán)限。
在添加權(quán)限頁(yè)面,選擇自定義策略中的權(quán)限名稱。
單擊確定。
權(quán)限策略配置完成后,該用戶即使擁有PolarDB集群的正常管控權(quán)限,也不能修改和刪除加密規(guī)則。當(dāng)該用戶嘗試對(duì)敏感規(guī)則進(jìn)行更改或刪除時(shí),會(huì)報(bào)如下錯(cuò)誤: