文档首页/ 云数据库 TaurusDB/ 产品介绍/ TaurusDB权限管理
更新时间:2025-05-14 GMT+08:00
查看PDF
分享

TaurusDB权限管理

如果您需要对华为云上购买云服务平台上创建的TaurusDB资源,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。

通过IAM,您可以在华为账号中给员工创建IAM用户,并授权控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员,您希望开发人员拥有TaurusDB的使用权限,但是不希望他们拥有删除TaurusDB等高危操作的权限,那么您可以使用IAM为开发人员创建用户,通过授予仅能使用TaurusDB,但是不允许删除TaurusDB的权限,控制他们对TaurusDB资源的使用范围。

如果华为账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用TaurusDB服务的其它功能。

IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。关于IAM的详细介绍,请参见IAM产品介绍

TaurusDB权限

默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。

TaurusDB部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域(如华北-北京四)对应的项目(cn-north-4)中设置相关权限,并且该权限仅对此项目生效;如果在所有项目中设置权限,则该权限在所有区域项目中都生效。访问TaurusDB时,需要先切换至授权区域。

根据授权精细程度分为角色和策略。

  • 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
  • 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对TaurusDB服务,管理员能够控制IAM用户仅能对某一类数据库资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,TaurusDB支持的API授权项请参见策略及授权项说明

表1所示,包括了云数据库TaurusDB的所有系统权限。

表1 TaurusDB系统权限

策略名称

描述

类别

依赖关系

GaussDB FullAccess

云数据库TaurusDB服务的所有执行权限。

系统策略。

购买包周期实例需要配置授权项:

bss:order:update

bss:order:pay

创建TDE实例,依赖如下IAM权限:

iam:agencies:listAgencies

iam:roles:listRoles

iam:permissions:listRolesForAgencyOnProject

其中GaussDB FullAccess已包含iam:agencies:listAgencies、iam:roles:listRoles、iam:agencies:pass权限。

IAM Agency Management ReadOnly包含如下操作权限:iam:permissions:listRolesForAgencyOnProject。

GaussDB ReadOnlyAccess

云数据库TaurusDB服务的只读访问权限。

系统策略。

表2列出了云数据库TaurusDB常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。

表2 常用操作与系统权限的关系

操作

GaussDB FullAccess

GaussDB ReadOnlyAccess

创建TaurusDB实例

支持

不支持

删除TaurusDB实例

支持

不支持

查询TaurusDB实例列表

支持

支持
表3 常用操作与对应授权项

操作名称

授权项

备注

修改参数模板

gaussdb:param:modify

-

变更数据库实例的规格

gaussdb:instance:modifySpec

-

创建数据库实例

gaussdb:instance:create

界面选择VPC、子网、安全组需要配置:

vpc:vpcs:list

vpc:vpcs:get

vpc:subnets:get

vpc:securityGroups:get

创建加密实例需要在项目上配置KMS Administrator权限。

创建包周期实例需要配置CBC权限:

bss:renewal:view

bss:renewal:update

bss:balance:view

bss:order:view

bss:order:update

bss:order:pay

创建TDE实例时,需要配置授予创建服务关联委托的权限:iam:agencies:createServiceLinkedAgencyV5。

创建手动备份

gaussdb:backup:create

-

查询备份列表

gaussdb:backup:list

-

查询错误日志

gaussdb:log:list

-

重启实例

gaussdb:instance:restart

-

查询数据库实例列表

gaussdb:instance:list

-

创建参数模板

gaussdb:param:create

-

删除参数模板

gaussdb:param:delete

-

修改备份策略

gaussdb:instance:modifyBackupPolicy

-

查看参数模板

gaussdb:param:list

-

删除实例

gaussdb:instance:delete

退订包周期实例需要配置:

bss:unsubscribe:update

删除手动备份

gaussdb:backup:delete

-

查询项目标签

gaussdb:tag:list

-

应用参数模板

gaussdb:param:apply

-

批量添加删除项目标签

gaussdb:instance:dealTag

-

变更配额

gaussdb:quota:modify

-

升级数据库实例版本

gaussdb:instance:upgrade

-

只读升主

gaussdb:instance:switchover

-

修改数据库端口

gaussdb:instance:modifyPort

-

修改实例安全组

gaussdb:instance:modifySecurityGroup

-

修改读写内网地址

gaussdb:instance:modifyIp

界面选择IP需要配置:

vpc:vpcs:list

vpc:vpcs:get

开启、关闭SSL

gaussdb:instance:modifySSL

-

修改实例名称

gaussdb:instance:rename

-

添加只读节点

gaussdb:instance:addNodes

-

删除只读节点

gaussdb:instance:deleteNodes

-

修改存储空间

gaussdb:instance:modifyStorageSize

-

修改数据库实例密码

gaussdb:instance:modifyPassword

-

绑定公网IP

gaussdb:instance:bindPublicIp

界面列出公网IP需要配置:

vpc:publicIps:get

vpc:publicIps:list

解绑公网IP

gaussdb:instance:unbindPublicIp

-

修改监控策略

gaussdb:instance:modifyMonitorPolicy

-

修改节点倒换优先级

gaussdb:instance:modifySwitchoverPriority

-

修改可维护时间窗

gaussdb:instance:modifyMaintenanceWindow

-

节点隔离

gaussdb:instance:isolateNodes

-

修改全量SQL策略

gaussdb:instance:modifyTraceSQLPolicy

-

查询HTAP实例列表

gaussdb:htapInstance:list

-

创建HTAP实例

gaussdb:htapInstance:create

-

修改云数据库 GaussDB HTAP实例

gaussdb:htapInstance:modify

-

删除HTAP实例

gaussdb:htapInstance:delete

-

修改HTAP实例名称

gaussdb:htapInstance:rename

-

重启HTAP实例

gaussdb:htapInstance:restart

-

升级HTAP实例版本

gaussdb:htapInstance:upgrade

-

倒换HTAP实例

gaussdb:htapInstance:switchover

-

变更HTAP实例的规格

gaussdb:htapInstance:modifySpec

-

扩容HTAP实例磁盘空间

gaussdb:htapInstance:modifyStorageSize

-

绑定HTAP实例公网IP

gaussdb:htapInstance:bindPublicIp

-

解绑HTAP实例公网IP

gaussdb:htapInstance:unbindPublicIp

-

修改HTAP实例端口

gaussdb:htapInstance:modifyPort

-

修改HTAP实例密码

gaussdb:htapInstance:modifyPassword

-

创建HTAP实例数据同步

gaussdb:htapInstance:createDataSync

-

修改HTAP实例数据同步

gaussdb:htapInstance:modifyDataSync

-

删除HTAP实例数据同步

gaussdb:htapInstance:deleteDataSync

-

添加、修复HTAP同步表

gaussdb:htapInstance:list

-

创建数据库代理

gaussdb:proxy:create

-

修改代理地址

gaussdb:proxy:modifyIp

-

修改数据库代理读权重

gaussdb:proxy:modifyWeight

-

修改数据库代理端口

gaussdb:proxy:modifyPort

-

修改数据库代理访问控制

gaussdb:proxy:modifyAccess

-

删除数据库代理

gaussdb:proxy:delete

-

查询数据库代理列表

gaussdb:proxy:list

-

升级数据库代理版本

gaussdb:proxy:upgrade

-

修改数据库代理名称

gaussdb:proxy:rename

-

扩容数据库代理节点

gaussdb:proxy:addNodes

-

缩容数据库代理节点

gaussdb:proxy:deleteNodes

-

变更数据库代理规格

gaussdb:proxy:modifySpec

-

申请数据库代理内网域名

gaussdb:proxy:createDns

-

修改数据库代理域名

gaussdb:proxy:modifyDns

-

删除数据库代理域名

gaussdb:proxy:deleteDns

-

修改数据库代理路由模式

gaussdb:proxy:modifyRouteMode

-

修改数据库代理SSL

gaussdb:proxy:modifySSL

-

创建数据库用户

gaussdb:user:create

-

删除数据库用户

gaussdb:user:delete

-

修改数据库用户密码

gaussdb:user:modify

-

查询数据库用户

gaussdb:user:list

-

数据库用户授权

gaussdb:user:grantPrivilege

-

回收数据库用户权限

gaussdb:user:revokePrivilege

-

创建数据库

gaussdb:database:create

-

删除数据库

gaussdb:database:delete

-

查询数据库列表

gaussdb:database:list

-

查询预定义标签

-

查询预定义标签需要配置:

tms:resourceTags:list

查询配置日志组

-

查询配置日志组需要配置:

lts:groups:get

查询配置日志流

-

查询配置日志流需要配置:

lts:topics:get

设置自动变配

gaussdb:autoscaling:createPolicy

设置自动变配需要配置:

iam:agencies:listAgencies

设置审计日志策略

gaussdb:instance:modifyTraceSQLPolicy

-

查询审计日志策略

gaussdb:log:list

-

获取审计日志列表

gaussdb:log:list

-

生成审计日志下载链接

gaussdb:log:list

-

修改只读节点读内网地址

gaussdb:instance:modifyIp

-

相关文档

    OSZAR »