华为云-das使用规范
数据管理服务DAS 是一种集数据管理、结构管理、用户授权、安全审计、数据趋势、数据追踪、性能与优化和服务器管理于一体的数据管理服务。—— 华为云
为什么选择DAS
- [开发] 无论在家or公司,无需登录堡垒机、无需接触数据库账号,就可以查询、变更数据(通过工单)
- [DBA]
支持钉钉审批、支持自定义审批流程、支持多种类型数据库、完善的用户授权体系、可杜绝线上数据被篡改 - [审计] 强大的SQL审核及安全审计功能,完全满足外部审计需求
- [安全] 可对字段进行敏感性打标、脱敏显示,防止泄露,保护公司核心数据财产
[TOC]
das简介
das使用
- 华为云-非金融区-das入口:https://console.huaweicloud.com/das
- 华为云- 金融区 - das入口:https://console.jrzq.huaweicloud.com/das
- 访问das之前,必须先申请一个华为云的IAM子账号,请发申请邮件给 DBA 并抄送双方主管,正文写清楚金融区还是非金融区,邮件格式如下:
邮件标题: 申请华为云iam子账号
邮件收件人: DBA
邮件抄送: 申请人主管, DBA主管
邮件正文: 因 xxx,现需要申请一个 xxx区 的iam子账号访问华为云das服务,请帮忙开通。
查询数据
权限申请
- 使用华为云子账号登录 das控制台,选择"企业版(企业流程审批)",再选择企业并进入,如下图示:
- 再申请所要操作的数据库的权限
- 只是查询数据的话,建议申请只读实例,以减少对主实例的压力
- 只是查询数据的话,权限类型只选择"查询"和"导出"即可
- 权限期限不得超过6个月(到期可再申请),特殊情况除外
sql窗口查询数据
变更数据
权限申请
- 可参考查询数据的权限申请,权限类型勾选:查询+数据变更+结构变更+导出 即可。
提交工单变更数据
- 若要变更数据,需先申请 [主库] 的 [变更] 权限,再提交 [SQL变更]工单。
- 针对且仅限 UPDATE/DELETE 工单,在最后一步执行的时候会有一个“是否备份数据”的按钮,勾选它就会自动备份(如要回滚,可点开此工单下载备份数据);
- 普通UPDATE/DELETE操作,DAS会自动备份(若跳过校验、dml夹杂ddl、begin...end则不会备份)
- 提交普通数据变更,注意 [执行方式] 的区别:
- [审批后手动执行(默认)] 即 工单审批通过后,仍需要提交者点执行才会执行变更
- [审批后自动执行] 即 工单审批通过后sql会自动执行,无需提交者介入
- [指定时间执行] 即 提前设置好执行时间,待工单审批通过后开始等待,非常适合定时发版或定时测试。
das策略及限制
- SQL窗口中单次查询返回行数:2000,超过2000则必须走导出工单
- 查询超时时间:300秒
- 是否允许在SQL窗口中执行DML:否
- 是否允许在SQL窗口中执行DDL:否
- 禁止全表UPDATE执行
- 禁止全表DELETE执行
- 根据最小化、按需申请原则,不建议申请整个实例
- 审批流程:申请人-->库Owner-->DBA
目前库Owner设置多人,任意一个响应就可以到下一个节点。最多可以设置五人。
- 针对大表的DML/DDL操作,目前das暂无类似阿里云dms的无锁变更功能;
工单审批
- 若为库owner角色,则会涉及到工单审批,可参考如下:
- 数据查询和变更的流程图
