云堡壘機支持通過執行命令運維數據庫，包括數據刪除、修改、查看等運維操作。為確保數據庫敏感信息的安全，避免關鍵信息的丟失和泄露，本文針對運維用戶訪問和運維數據庫關鍵信息，詳細介紹了如何設置數據庫高危操作的復核審批，以及如何實現關鍵信息的重點監控。

本文以管理員admin_A授權運維用戶 User_A ，針對MySQL數據庫資源RDS_A高危操作的二次授權為例。

應用場景

云堡壘機（CloudBastion Host，CBH），通過設置數據庫控制策略，設置預置命令執行策略，動態識別并攔截高危命令（包括刪庫、修改關鍵信息、查看敏感信息等），中斷數據庫運維會話。同時自動生成數據庫授權工單，發送給管理員進行二次審批授權。只有管理員審批工單授權執行操作后，運維用戶才能執行該高危操作，繼續數據庫運維會話。

約束限制

目前僅支持二次審核MySQL或Oracle數據庫的執行命令。

前提條件

• 云堡壘機所在已放開相應數據庫訪問端口，數據庫與云堡壘機之間網絡連接暢通。
• 資源RDS_A已被納管為主機運維方式資源。
• 運維用戶User_A已獲取資源RDS_A的訪問控制權限。

配置二次審核策略

為實現高危操作的復核審批，需在“數據庫控制策略”中預置命令規則，并開啟“動態授權”執行方式。

步驟 1 admin_A登錄云堡壘機系統。

步驟 2 選擇“策略 > 數據庫控制策略”，進入數據庫控制策略頁面。

步驟 3 配置數據庫規則集，選擇預置高危操作命令。

1. 選擇“規則集”頁簽。
2. 單擊“新建”，創建一個MySQL數據庫的規則集。以新建DB-test規則集為例。
3. 單擊“添加規則”，在DB-test規則集中添加“庫”、“表”或“命令”規則。以添加DELETE刪除表內容的命令為例。

                  

                    
說明
                    
“命令”為必填項，至少需選擇一個命令，可同時選擇多個命令；
設置“庫”或“表”，表示對數據庫中庫或表操作的命令限制；
未設置“庫”或“表”，表示對數據庫中全部操作的命令限制。
                    
                  
                  

效果驗證

運維用戶執行高危操作，觸發攔截，申請操作權限。管理員通過對高危操作的二次審核，加強對數據庫核心資產的管控力度。

步驟 1 運維用戶User_A登錄資源 RDS_A 。

1. 登錄云堡壘機系統。
2. 選擇“運維 > 主機運維”。
3. 單擊“登錄”，通過工具調用數據庫客戶端，登錄數據庫資源 RDS_A 。

步驟 2 以調用Navicat客戶端登錄數據庫為例。運維用戶User_A在資源RDS_A中，執行刪除表內容操作，自動觸發攔截DELETE命令，提示無權限刪除。

步驟 3 運維用戶User_A提交數據庫授權工單，反饋給管理員admin_A審批。

1. 運維用戶User_A登錄云堡壘機系統。
2. 選擇“工單 > 數據庫授權工單”，查看因刪除操作被攔截而產生的工單。
3. 單擊“提交”，提交對資源RDS_A刪除操作的授權申請。

步驟 4 管理員admin_A審核運維用戶User_A的運維操作，根據實際情況批準或駁回申請。

1. 管理員admin_A登錄云堡壘機系統。
2. 選擇“工單 > 工單審批”，審核User_A數據庫授權工單。
3. 單擊“批準”或“駁回”，審批工單。

                    
注意
                    
僅管理員“批準”工單后，運維用戶才能繼續執行被攔截的高危操作。