Gestión de permisos
Si necesita asignar diferentes permisos a los empleados de su empresa para acceder a sus recursos de DDS, IAM es una buena opción para la gestión de permisos detallada. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso, lo que le ayuda a proteger el acceso a sus recursos de Huawei Cloud.
Con IAM, puede usar su cuenta de Huawei Cloud para crear usuarios de IAM para sus empleados y asignar permisos a los usuarios para controlar su acceso a tipos de recursos específicos. Por ejemplo, algunos desarrolladores de software de su empresa necesitan usar recursos de DDS pero no deben eliminarlos ni realizar operaciones de alto riesgo. Para lograr este resultado, puede crear usuarios de IAM para los desarrolladores de software y concederles solo los permisos necesarios para usar los recursos DDS.
Si su cuenta de Huawei Cloud no necesita usuarios individuales de IAM para la gestión de permisos, puede omitir este tema.
IAM se puede utilizar de forma gratuita. Solo paga por los recursos de su cuenta. Para obtener más información acerca de IAM, consulte Descripción general del servicio IAM.
Permisos de DDS
De forma predeterminada, los nuevos usuarios de IAM no tienen permisos asignados. Debe agregar un usuario a uno o más grupos, y adjuntar políticas o roles de permisos a estos grupos. Los usuarios heredan permisos de los grupos a los que se agregan y pueden realizar operaciones específicas a servicios en la nube según los permisos.
DDS es un servicio a nivel de proyecto implementado y accedido en regiones físicas específicas. Para asignar permisos GaussDB NoSQL a un grupo de usuarios, especifique el ámbito como proyectos específicos de región, por ejemplo, cn-north-1 para CN North-Beijing1 y seleccione proyectos para que los permisos surtan efecto. Si se selecciona All projects, los permisos surtirán efecto para el grupo de usuarios en todos los proyectos específicos de la región. Al acceder a DDS, los usuarios deben cambiar a una región en la que se les haya autorizado a usar DDS.
Puede conceder permisos a los usuarios mediante roles y políticas.
- Roles: Un tipo de mecanismo de autorización de grano grueso que define permisos relacionados con las responsabilidades del usuario. Este mecanismo proporciona solo un número limitado de roles de nivel de servicio para la autorización. Al usar roles para conceder permisos, también debe asignar otros roles de los que dependen los permisos para que surtan efecto. Sin embargo, los roles no son una opción ideal para la autorización detallada y el control de acceso seguro.
- Políticas: Un tipo de mecanismo de autorización detallado que define los permisos necesarios para realizar operaciones en recursos de nube específicos bajo ciertas condiciones. Este mecanismo permite una autorización más flexible basada en políticas, cumpliendo los requisitos para un control de acceso seguro. Por ejemplo, puede conceder a los usuarios de DDS únicamente los permisos para administrar un determinado tipo de recursos. La mayoría de las políticas definen permisos basados en API. Para ver las acciones de API admitidas por ELB, consulte Políticas de permisos y acciones admitidas.
Tabla 1 enumera todas las funciones y políticas definidas por el sistema admitidas por DDS.
|
Nombre de política/Rol del sistema |
Descripción |
Tipo |
Dependencia |
|---|---|---|---|
|
DDS FullAccess |
Todas las operaciones en DDS. |
Política definida por el sistema |
Ninguno |
|
DDS ReadOnlyAccess |
Permisos de sólo lectura para los recursos DDS. Los usuarios a los que se han concedido estos permisos sólo pueden ver los datos DDS. |
Política definida por el sistema |
Ninguno |
|
DDS ManageAccess |
Permisos de DBA en DDS excepto las operaciones de eliminación de instancia de base de datos DDS. |
Política definida por el sistema |
Ninguno |
|
DDS Administrator |
Administrador de DDS, que tiene todos los permisos del servicio. |
Rol definido por el sistema |
Los roles de Inquilino Invitado e Inquilino Administrador deben asignarse en el mismo proyecto. |
Tabla 2 enumera las operaciones comunes soportadas por cada política o función definida por el sistema de DDS. Seleccione las políticas según sea necesario.
|
Operación |
FullAccess de DDS |
ReadOnlyAccess de DDS |
ManageAccess de DDS |
Administrador de DDS |
|---|---|---|---|---|
|
Creación de una instancia |
√ |
x |
√ |
√ |
|
Consulta de instancias de base de datos |
√ |
√ |
√ |
√ |
|
Eliminación de una instancia de base de datos |
√ |
x |
x |
√ |
|
Reinicio de una instancia de base de datos |
√ |
x |
√ |
√ |
|
Realización de una conmutación primaria/secundaria |
√ |
x |
√ |
√ |
|
Modificación del puerto |
√ |
x |
√ |
√ |
|
Restablecimiento de una contraseña |
√ |
x |
√ |
√ |
|
Modificación de SSL |
√ |
x |
√ |
√ |
|
Modificación de un grupo de seguridad |
√ |
x |
√ |
√ |
|
Vinculación y desvinculación de un EIP |
√ |
x |
√ |
√ |
|
Ampliación del espacio de almacenamiento |
√ |
x |
√ |
√ |
|
Cambio de clases de instancia de base de datos |
√ |
x |
√ |
√ |
|
Adición de nodos |
√ |
x |
√ |
√ |
|
Eliminación del nodo que no se puede agregar |
√ |
x |
× |
√ |
|
Modificación de una política de copia respaldo automática |
√ |
x |
√ |
√ |
|
Cambio de nombre de una instancia de base de datos |
√ |
x |
√ |
√ |
|
Cambio de una dirección IP privada |
√ |
x |
√ |
√ |
|
Cambio de la plantilla de parámetros asociada al nodo en una instancia de base de datos |
√ |
x |
√ |
√ |
|
Muestra de registros lentos originales |
√ |
x |
√ |
√ |
|
Habilitar o deshabilitar la auditoría de registros locales |
√ |
x |
√ |
√ |
|
Descarga de registros de auditoría |
√ |
x |
√ |
√ |
|
Eliminación de registros de auditoría |
√ |
x |
× |
√ |
|
Descarga de un archivo de copia de respaldo |
√ |
x |
√ |
√ |
|
Cambio del modo de facturación de pago por uso a anual/mensual |
√ |
x |
√ |
√ |
|
Creación de una copia de respaldo manual |
√ |
x |
√ |
√ |
|
Consultar la lista de copia de respaldo |
√ |
√ |
√ |
√ |
|
Restauración en una nueva instancia de base de datos |
√ |
x |
√ |
√ |
|
Restaurar una instancia de base de datos existente |
√ |
x |
√ |
√ |
|
Eliminación de una copia de respaldo |
√ |
x |
× |
√ |
|
Creación de una plantilla de parámetros |
√ |
x |
√ |
√ |
|
Consulta de plantillas de parámetros |
√ |
√ |
√ |
√ |
|
Modificación de una plantilla de parámetros |
√ |
x |
√ |
√ |
|
Eliminación de una plantilla de parámetros |
√ |
x |
× |
√ |
|
Lista del centro de tareas |
√ |
x |
√ |
√ |
Tabla 3 enumera las operaciones comunes de DDS y las acciones correspondientes. Puede hacer referencia a esta tabla para personalizar las políticas de permisos.
|
Operación |
Acciones |
Alcance de la autorización |
Descripción |
|---|---|---|---|
|
Página de creación de instancias |
|
Soportado:
|
La VPC, la subred y el grupo de seguridad se muestran en la página de creación de instancia. |
|
Creación de una instancia |
|
Soportado:
|
Si se utilizan la VPC, la subred y el grupo de seguridad predeterminados, se debe configurar el permiso vpc:*:create. Para crear una instancia cifrada, configure el permiso de administrador de KMS para el proyecto. |
|
Consulta de instancias de base de datos |
dds:instance:list |
Soportado:
|
- |
|
Consultar detalles de una instancia de base de datos |
dds:instance:list |
Soportado:
|
Si es necesario mostrar la VPC, la subred y el grupo de seguridad en la página de detalles de la instancia, agregue las acciones vpc:*:get y vpc:*:list. |
|
Exportación de listas de instancias de base de datos |
dds:instance:list |
Soportado:
|
Si se requiere la VPC, la subred y el grupo de seguridad, agregue las acciones vpc:*:get y vpc:*:list. |
|
Eliminación de una instancia de base de datos |
dds:instance:deleteInstance |
Soportado:
|
Al eliminar una instancia de base de datos, elimine la dirección IP en el lado de datos. |
|
Reinicio de una instancia de base de datos |
dds:instance:reboot |
Soportado:
|
- |
|
Realización de una conmutación primaria/secundaria |
dds:instance:switchover |
Soportado:
|
- |
|
Cambio de puerto |
dds:instance:modifyPort |
Soportado:
|
- |
|
Restablecimiento de una contraseña |
dds:instance:resetPasswd |
Soportado:
|
- |
|
Modificación de SSL |
dds:instance:modifySSL |
Soportado:
|
- |
|
Modificación de un grupo de seguridad |
dds:instance:modifySecurityGroup |
Soportado:
|
- |
|
Vincular una EIP |
dds:instance:bindPublicIp |
Soportado:
|
Al vincular un EIP, debe consultar el EIP creado.
Para obtener más información, consulte Dirección IP flotante. |
|
Desvincular una EIP |
dds:instance:unbindPublicIp |
Soportado:
|
Para obtener más información, consulte Dirección IP flotante. |
|
Ampliación del espacio de almacenamiento |
dds:instance:extendVolume |
Soportado:
|
- |
|
Cambio de clases de instancia de base de datos |
dds:instance:modifySpec |
Soportado:
|
- |
|
Adición de nodos |
|
Soportado:
|
- |
|
Eliminación del nodo que no se puede agregar |
dds:instance:extendNode |
Soportado:
|
Si se ha creado la dirección IP pero el procedimiento posterior falla, elimine la dirección IP en el lado de datos. |
|
Modificación de una política de copia respaldo automática |
dds:instance:modifyBackupPolicy |
Soportado:
|
- |
|
Cambio de nombre de una instancia de base de datos |
dds:instance:modify |
Soportado:
|
- |
|
Cambio de una dirección IP privada |
|
Soportado:
|
Antes de cambiar la dirección IP privada, consulte las direcciones IP disponibles. |
|
Cambio de la plantilla de parámetros asociada al nodo en una instancia de base de datos |
dds:instance:modifyParameter |
Soportado:
|
- |
|
Muestra de registros lentos originales |
dds:instance:modifySlowLogPlaintextSwitch |
Soportado:
|
- |
|
Habilitar o deshabilitar la auditoría de registros locales |
dds:instances:modifyAuditLogSwitch |
Soportado:
|
- |
|
Descarga de registros de auditoría |
dds:instances:downloadAuditLog |
Soportado:
|
- |
|
Eliminación de registros de auditoría |
dds:instance:deleteAuditLog |
Soportado:
|
- |
|
Descarga de un archivo de copia de respaldo |
dds:backup:download |
Soportado:
|
- |
|
Cambio del modo de facturación de pago por uso a anual/mensual |
dds:instances:renew |
Soportado:
|
- |
|
Creación de una copia de respaldo manual |
dds:instance:createManualBackup |
Soportado:
|
- |
|
Consultar la lista de copia de respaldo |
dds:backup:list |
Soportado:
|
- |
|
Restauración en una nueva instancia de base de datos |
|
Soportado:
|
El permiso Administrador de KMS debe configurarse para la instancia cifrada en el proyecto. |
|
Restaurar una instancia de base de datos existente |
dds:backup:refreshInstanceFromBackup |
Soportado:
|
- |
|
Eliminación de una copia de respaldo |
dds:backup:delete |
Soportado:
|
- |
|
Creación de una plantilla de parámetros |
dds:param:create |
Soportado:
|
- |
|
Consulta de plantillas de parámetros |
dds:param:list |
Soportado:
|
- |
|
Modificación de una plantilla de parámetros |
dds:param:modify |
Soportado:
|
- |
|
Eliminación de una plantilla de parámetros |
dds:param:delete |
Soportado:
|
- |
|
Lista del centro de tareas |
dds:task:list |
Soportado:
|
- |
