/ 云数据库 rds/ 产品介绍/ 权限管理
更新时间:2024-11-08 gmt 08:00
查看pdf

权限管理-九游平台

如果您需要对华为云上购买云服务平台上创建的rds资源,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(identity and access management,简称iam)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。

通过iam,您可以在华为账号中给员工创建iam用户,并授权控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员,您希望开发人员拥有rds的使用权限,但是不希望他们拥有删除rds等高危操作的权限,那么您可以使用iam为开发人员创建用户,通过授予仅能使用rds,但是不允许删除rds的权限,控制他们对rds资源的使用范围。

如果华为账号已经能满足您的要求,不需要创建独立的iam用户进行权限管理,您可以跳过本章节,不影响您使用rds服务的其它功能。

iam是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。关于iam的详细介绍,请参见iam产品介绍

rds权限

默认情况下,管理员创建的iam用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。

rds部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域(如华北-北京1)对应的项目(cn-north-1)中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问rds时,需要先切换至授权区域。

根据授权精细程度分为角色和策略。
  • 角色:iam最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
  • 策略:iam最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对rds服务,管理员能够控制iam用户仅能对某一类数据库资源进行指定的管理操作。多数细粒度策略以api接口为粒度进行权限拆分,rds支持的api授权项请参见策略及授权项说明

表1所示,包括了rds的所有系统权限。

表1 rds系统策略

策略名称/系统角色

描述

类别

依赖关系

rds fullaccess

关系型数据库服务所有权限。

系统策略

购买包周期实例需要配置授权项:

bss:order:update

bss:order:pay

如果要使用存储空间自动扩容功能,iam子账号需要添加如下授权项:
  • 创建自定义策略:
    • iam:agencies:listagencies
    • iam:agencies:createagency
    • iam:permissions:listrolesforagencyonproject
    • iam:permissions:grantroletogrouponproject
    • iam:roles:listroles
    • iam:roles:createrole
  • 添加系统角色:security administrator
    1. 选择该用户所在的一个用户组。
    2. 单击“授权”。
    3. 添加security administrator系统角色。
创建ram共享kms密钥的包周期实例,依赖iam权限点:
  • iam:agencies:listagencies
  • iam:roles:listroles
  • iam:agencies:pass
  • iam:agencies:createagency
  • iam:permissions:grantroletoagency

其中rds fullaccess已包含iam:agencies:listagencies、iam:roles:listroles、iam:agencies:pass权限。

由于rds是region级服务,而iam是global级服务,将rds fullaccess授权给项目时,需要再授权bss serviceagencyreadpolicy(全局级服务);如果将rds fullaccess授权给全部项目,可正常使用iam权限。

bss serviceagencycreatepolicy包含其他操作权限:iam:agencies:createagency、iam:permissions:grantroletoagency。

rds readonlyaccess

关系型数据库服务资源只读权限。

系统策略

无。

rds manageaccess

关系型数据库服务除删除操作外的dba权限。

系统策略

无。

rds administrator

关系型数据库服务管理员。

系统角色

依赖tenant guest和server administrator角色,在同项目中勾选依赖的角色。

仅添加rds administrator权限后,如果要使用存储空间自动扩容功能,iam子账号需要添加的授权项请参见表3中的存储空间自动扩容的说明。

表2列出了rds常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。

表2 常用操作与系统权限的关系

操作

rds fullaccess

rds readonlyaccess

rds manageaccess

rds administrator

创建rds实例

x

删除rds实例

x

x

查询rds实例列表

表3 常用操作与对应授权项

操作名称

授权项

备注

创建数据库实例

rds:instance:create

rds:param:list

界面选择vpc、子网、安全组需要配置:

vpc:vpcs:list

vpc:vpcs:get

vpc:subnets:get

vpc:securitygroups:get

vpc:securitygrouprules:get

创建加密实例需要在项目上配置kms administrator权限。

购买包周期实例需要配置:

bss:order:update

bss:order:pay

变更数据库实例的规格

rds:instance:modifyspec

无。

扩容数据库实例的磁盘空间

rds:instance:extendspace

无。

单机转主备实例

rds:instance:singletoha

若原单实例为加密实例,需要在项目上配置kms administrator权限。

重启数据库实例

rds:instance:restart

无。

删除数据库实例

rds:instance:delete

无。

查询数据库实例列表

rds:instance:list

无。

实例详情

rds:instance:list

实例详情界面展示vpc、子网、安全组,需要对应配置vpc:*:get和vpc:*:list。

修改数据库实例密码

rds:password:update

无。

修改端口

rds:instance:modifyport

无。

修改内网ip

rds:instance:modifyip

界面查询剩余ip列表需要:

vpc:subnets:get

vpc:ports:get

修改实例名称

rds:instance:modify

无。

修改运维时间窗

rds:instance:modify

无。

手动主备倒换

rds:instance:switchover

无。

修改同步模式

rds:instance:modifysynchronizemodel

无。

切换策略

rds:instance:modifystrategy

无。

修改实例安全组

rds:instance:modifysecuritygroup

无。

绑定/解绑公网ip

rds:instance:modifypublicaccess

界面列出公网ip需要:

vpc:publicips:get

vpc:publicips:list

设置回收站策略

rds:instance:setrecyclebin

无。

查询回收站

rds:instance:list

无。

开启、关闭ssl

rds:instance:modifyssl

无。

开启、关闭事件定时器

rds:instance:modifyevent

无。

读写分离操作

rds:instance:modifyproxy

无。

申请内网域名

rds:instance:createdns

无。

备机可用区迁移

rds:instance:create

备机迁移涉及租户子网下的ip操作,若为加密实例,需要在项目上配置kms administrator权限。

表级时间点恢复

rds:instance:tablerestore

无。

透明数据加密(transparent data encryption,tde)权限

rds:instance:tde

仅用于rds for sql server数据库实例。

修改主机权限

rds:instance:modifyhost

无。

查询对应账号下的主机

rds:instance:list

无。

获取参数模板列表

rds:param:list

无。

创建参数模板

rds:param:create

无。

修改参数模板参数

rds:param:modify

无。

应用参数模板

rds:param:apply

无。

修改指定实例的参数

rds:param:modify

无。

获取指定实例的参数模板

rds:param:list

无。

获取指定参数模板的参数

rds:param:list

无。

删除参数模板

rds:param:delete

无。

重置参数模板

rds:param:reset

无。

对比参数模板

rds:param:list

无。

保存参数模板

rds:param:save

无。

查询参数模板类型

rds:param:list

无。

设置自动备份策略

rds:instance:modifybackuppolicy

无。

查询自动备份策略

rds:instance:list

无。

创建手动备份

rds:backup:create

无。

获取备份列表

rds:backup:list

无。

获取备份下载链接

rds:backup:download

无。

删除手动备份

rds:backup:delete

无。

复制备份

rds:backup:create

无。

查询可恢复时间段

rds:instance:list

无。

恢复到新实例

rds:instance:create

界面选择vpc、子网、安全组需要配置:

vpc:vpcs:list

vpc:vpcs:get

vpc:subnets:get

vpc:securitygroups:get

vpc:securitygrouprules:get

恢复到已有或当前实例

rds:instance:restoreinplace

无。

获取实例binlog清理策略

rds:binlog:get

无。

合并binlog文件

rds:binlog:merge

无。

下载binlog文件

rds:binlog:download

无。

删除binlog文件

rds:binlog:delete

无。

设置binlog清理策略

rds:binlog:setpolicy

无。

获取数据库备份文件列表

rds:backup:list

无。

获取历史数据库列表

rds:backup:list

无。

查询数据库错误日志

rds:log:list

无。

查询数据库慢日志

rds:log:list

无。

下载数据库错误日志

rds:log:download

无。

下载数据库慢日志

rds:log:download

无。

开启、关闭审计日志

rds:auditlog:operate

无。

获取审计日志列表

rds:auditlog:list

无。

查询审计日志策略

rds:auditlog:list

无。

生成审计日志下载链接

rds:auditlog:download

无。

获取主备切换日志

rds:log:list

无。

创建数据库

rds:database:create

无。

查询数据库列表

rds:database:list

无。

查询指定用户的已授权数据库

rds:database:list

无。

删除数据库

rds:database:drop

无。

创建数据库账户

rds:databaseuser:create

无。

查询数据库账户列表

rds:databaseuser:list

无。

查询指定数据库的已授权账户

rds:databaseuser:list

无。

删除数据库账户

rds:databaseuser:drop

无。

授权数据库账户

rds:databaseprivilege:grant

无。

解除数据库账户权限

rds:databaseprivilege:revoke

无。

任务中心列表

rds:task:list

无。

删除任务中心任务

rds:task:delete

无。

包周期下单

bss:order:update

购买包周期实例需要配置授权项:

bss:order:pay

用户标签操作

rds:instance:modify

标签相关操作依赖tms:resourcetags:*权限。

存储空间自动扩容

rds:instance:extendspace

如果选择自动扩容,iam主账号不需要添加授权项,iam子账号需要添加如下授权项:

  • 创建自定义策略:
    • iam:agencies:listagencies
    • iam:agencies:createagency
    • iam:permissions:listrolesforagencyonproject
    • iam:permissions:grantroletogrouponproject
    • iam:roles:listroles
    • iam:roles:createrole
  • 添加系统角色:security administrator
    1. 选择该用户所在的一个用户组。
    2. 单击“授权”。
    3. 添加security administrator系统角色。

停止实例、开启实例

rds:instance:operateserver

无。

停止实例

rds:instance:stop

无。

开启实例

rds:instance:start

无。

修改数据库用户名备注

rds:databaseuser:update

无。

相关链接

相关文档

网站地图