Configuración de la separación de permisos
Escenario
De forma predeterminada, el administrador especificado al crear un clúster de GaussDB (DWS) es el administrador del sistema de base de datos. El administrador puede crear otros usuarios y ver los registros de auditoría de la base de datos. Es decir, la separación de permisos está deshabilitada.
GaussDB (DWS) admite la separación de permisos basada en roles. De esta manera, los diferentes roles tienen diferentes permisos y los datos del clúster pueden protegerse mejor.
Para obtener más información sobre el modo de permisos predeterminado y el modo de separación de permisos, consulte Separación de permisos en la Guía del desarrollador de Data Warehouse Service (DWS).
Impacto en el sistema
- Después de modificar los parámetros de seguridad y de que las modificaciones surtan efecto, es posible que el clúster se reinicie, lo que hace que el clúster no esté disponible temporalmente.
- Cuando se crea un clúster GaussDB(DWS) 3.0, se crea un clúster lógico de forma predeterminada. Una vez habilitada la separación de funciones, solo el administrador del sistema tiene permiso para crear, modificar, eliminar y asignar clústeres lógicos. El acceso a un clúster lógico requiere permisos.
Prerrequisitos
Para modificar la configuración de seguridad del clúster, asegúrese de que se cumplen las siguientes condiciones:
- El estado del clúster es Available, To be restarted o Unbalanced.
- Task Information no puede ser Creating snapshot, Scaling out, Configuring ni Restarting.
Procedimiento
- Inicie sesión en la consola de gestión de GaussDB(DWS).
- En el árbol de navegación de la izquierda, haga clic en Clusters.
- En la lista de clústeres, haga clic en el nombre de un clúster. En la página que se muestra, haga clic en Security Settings.
De forma predeterminada, Configuration Status está Synchronized, lo que indica que se muestra el resultado de la base de datos más reciente.
- En la página de Security Settings, configure la separación de permisos.
indica que la función está habilitada. Cuando se habilita la separación de permisos, configure el nombre de usuario y la contraseña para Security Administrator y Audit Administrator. A continuación, el sistema crea automáticamente estos dos usuarios. Puede utilizar estos dos usuarios para conectarse a la base de datos y realizar operaciones relacionadas con la base de datos.
indica que Rights Separation está deshabilitado. Rights Separation está deshabilitada de forma predeterminada.Figura 1 Configuración de seguridad
Tabla 1 Parámetros de seguridad Parámetro
Descripción
Valor de ejemplo
Security Administrator
El nombre de usuario debe cumplir con los siguientes requisitos:
- Consta de letras minúsculas, dígitos o guiones bajos.
- Comienza con una letra minúscula o un guion bajo.
- Contiene de 6 a 64 caracteres.
- No puede ser una palabra clave de la base de datos de GaussDB(DWS). Para obtener detalles sobre las palabras clave de la base de datos GaussDB(DWS), consulte Palabra clave en la Guía del desarrollador de Data Warehouse Service (DWS).
security_admin
Password
Los requerimientos de complejidad de la contraseña son los siguientes:- Contiene de 12 a 32 caracteres.
- No puede ser el nombre de usuario ni el nombre de usuario escrito al revés.
- Debe contener al menos tres de los siguientes tipos de caracteres: letras mayúsculas, minúsculas, dígitos y caracteres especiales (~!?,.:;_(){}[]/<>@#%^&*+|\=-)
- Pasa la comprobación de contraseña débil.
-
Confirm Password
Ingrese de nuevo la contraseña del administrador de seguridad.
-
Audit Administrator
El nombre de usuario debe cumplir con los siguientes requisitos:
- Consta de letras minúsculas, dígitos o guiones bajos.
- Comienza con una letra minúscula o un guion bajo.
- Contiene de 6 a 64 caracteres.
- No puede ser una palabra clave de la base de datos de GaussDB(DWS). Para obtener detalles sobre las palabras clave de la base de datos GaussDB(DWS), consulte Palabra clave en la Guía del desarrollador de Data Warehouse Service (DWS).
audit_admin
Password
Los requerimientos de complejidad de la contraseña son los siguientes:- Contiene de 12 a 32 caracteres.
- No puede ser el nombre de usuario ni el nombre de usuario escrito al revés.
- Debe contener al menos 3 de los siguientes tipos de caracteres: letras mayúsculas, minúsculas, dígitos y caracteres especiales ~!@#%^&*()-_=+|[{}];:,<.>/?
- Pasa la comprobación de contraseña débil.
-
Confirm Password
Ingrese de nuevo la contraseña del administrador de seguridad.
-
- Haga clic en Apply.
- En el cuadro de diálogo de Save Configuration que se muestra, seleccione o anule la selección Restart the cluster y haga clic en Yes.
- Si selecciona Restart the cluster, el sistema guarda la configuración en la página Security Settings y reinicia el clúster inmediatamente. Después de reiniciar el clúster, la configuración de seguridad entra en vigor inmediatamente.
- Si no selecciona Restart the cluster, el sistema solo guarda la configuración en la página de Security Settings. Más tarde, debe reiniciar manualmente el clúster para que la configuración de seguridad tenga efecto.
Una vez completada la configuración de seguridad, Configuration Status puede ser uno de los siguientes en la página Security Settings:
- Applying: El sistema está guardando la configuración.
- Synchronized: La configuración se ha guardado y ha entrado en vigor.
- Take effect after restart: Los ajustes se han guardado pero no han tenido efecto. Reinicie el clúster para que surta efecto la configuración.