数据库风险监测访问管理模块,通过“来源 IP 视角”与“实例视角”的双维度互补治理,实现对数据库访问行为的精细化管控。支持访问行为的可视化展示(如访问拓扑图)、IP/账号打标操作,实现精细化访问控制。从“来源 IP”和“实例”双维度管控访问行为,解决“谁能访问、从哪访问、访问什么”的核心问题,避免粗放式访问控制导致的安全漏洞。本文为您介绍数据安全审计的访问管理能力。
管控视角 | 描述 | 适用场景 |
来源 IP 视角 | 以访问发起端的来源 IP 为核心管控维度,整合该 IP 对数据库实例的访问数据,提供访问拓扑可视化、IP/账号精准打标及安全组策略快速调整能力,实现对访问发起端的集中精细化管控。 | 排查单一 IP 的跨实例访问风险、批量标记某类访问端。 |
实例视角 | 以访问目标端的数据库实例为核心资源维度,整合来源 IP 对该实例的访问数据,提供资产访问拓扑可视化、IP/账号精准打标及安全组策略快速调整能力,实现对访问目标端的集中精细化管控。 | 梳理单一实例的全量访问来源、针对核心实例做专项管控。 |
来源 IP 视角
1. 登录 MySQL 控制台。
2. 在左侧导航栏选择数据安全审计。
3. 在数据安全审计页面,选择访问管理 > 来源 IP 视角。
4. 在来源 IP 视角标签页面,您可以查看来源 IP/地域、IP 类型/打标、实例 ID/名称、地域、访问用户/类型、最近访问时间等信息。
IP 访问拓扑
以可视化图谱的形式,直观展示单个来源 IP 与所有关联账号、数据库实例之间的访问关系、访问频率及安全状态。
在来源 IP 视角标签页面下,单击目标 IP 对应操作列的 IP 访问拓扑,可查看该 IP 与关联数据库实例的访问关系图谱。
IP 打标
说明:
来源 IP 视角和实例视角的打标操作是相互联动的,在来源 IP 视角为某 IP 打标后,在实例视角查看该 IP 时,打标状态会同步更新,反之亦然。
为目标来源 IP 添加预设或自定义标签,实现对 IP 的分类管控,便于后续风险监测时进行差异化判定。
1. 在来源 IP 视角标签页面下,单击目标 IP 对应操作列的更多 > 来源 IP 打标。
2. 在弹窗中,编辑来源 IP 备注,单击确定完成标记。
账号打标
为目标来源 IP 访问数据库时使用的账号添加预设或自定义标签,实现对访问账号的分类管控,便于后续审计和风险排查。
1. 在来源 IP 视角标签页面下,单击目标 IP 对应操作列的更多 > 账号打标。
2. 在弹窗中,选择账号类型,编辑备注信息,单击确定完成标记。
说明:
支持编辑类型为“自建账号”的访问账号类型,若当前访问账号为腾讯云主账号/子账号,则系统将自动识别,无需手动编辑。
修改安全组策略
快速跳转至目标 IP 关联的数据库实例资产页面,直接修改安全组策略,实现对该 IP 访问权限的快速管控(允许/拒绝访问)。
在来源 IP 视角标签页面下,单击目标 IP 对应操作列的更多 > 修改安全组策略,可前往数据库实例资产页面修改安全组策略。
实例视角
1. 登录 MySQL 控制台。
2. 在左侧导航栏选择数据安全审计。
3. 在数据安全审计页面,选择访问管理 > 实例视角。
4. 在实例视角标签页面,您可以查看实例 ID/名称、地域、访问用户/类型、来源 IP/类型、最近访问时间等信息。
资产访问拓扑
以可视化图谱的形式,直观展示单个数据库实例的所有访问来源 IP、关联访问账号之间的访问关系、访问频率及风险状态。
在实例视角标签页面下,单击目标实例对应操作列的资产访问拓扑,可查看该实例的所有访问来源 IP、关联账号的拓扑关系。
IP 打标
说明:
来源 IP 视角和实例视角的打标操作是相互联动的,在来源 IP 视角为某 IP 打标后,在实例视角查看该 IP 时,打标状态会同步更新,反之亦然。
为访问目标实例的指定来源 IP 添加预设或自定义标签,实现对该实例访问 IP 的精准分类管控,便于后续风险监测和审计。
1. 在实例视角标签页面下,单击目标实例对应操作列的更多 > 来源 IP 打标。
2. 在弹窗中,编辑来源 IP 备注,单击确定完成标记。
账号打标
为访问目标实例的指定账号添加预设或自定义标签,实现对该实例访问账号的精准分类管控,便于后续风险排查和权限审计。
1. 在实例视角标签页面下,单击目标 IP 对应操作列的更多 > 账号打标。
2. 在弹窗中,选择账号类型,编辑备注信息,单击确定完成标记。
说明:
支持编辑类型为“自建账号”的访问账号类型,若当前访问账号为腾讯云主账号/子账号,则系统将自动识别,无需手动编辑。
修改安全组策略
快速跳转至目标数据库实例的资产页面,直接修改安全组策略,实现对该实例所有访问来源 IP 的管控。
在实例视角标签页面下,单击目标实例对应操作列的更多 > 修改安全组策略,可前往数据库实例资产页面修改安全组策略。
