Permisos
Si necesita asignar diferentes permisos al personal de su empresa para acceder a los recursos de RDS, Identity and Access Management (IAM) es una buena opción para la gestión de permisos detallada. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso, lo que le ayuda a acceder de forma segura a sus recursos en la nube.
Con IAM, puede crear usuarios de IAM y asignar permisos para controlar su acceso a recursos específicos. Por ejemplo, si desea que algunos desarrolladores de software de su empresa usen recursos de RDS pero no desea que eliminen instancias de RDS ni realicen otras operaciones de alto riesgo, puede crear usuarios de IAM y conceder permiso para usar instancias de RDS, pero no permiso para eliminarlas.
Si su cuenta de Huawei no requiere usuarios individuales de IAM para la gestión de permisos, puede omitir esta sección.
IAM es un servicio gratuito. Solo paga por los recursos de su cuenta. Para obtener más información acerca de IAM, consulte Descripción general del servicio IAM.
Permisos de RDS
Los nuevos usuarios de IAM no tienen ningún permiso asignado de forma predeterminada. Primero debe agregarlos a uno o más grupos y adjuntar políticas o roles a estos grupos. A continuación, los usuarios heredan los permisos de los grupos y pueden realizar operaciones específicas en servicios en la nube en función de los permisos que se les han asignado.
RDS es un servicio a nivel de proyecto desplegado para regiones específicas. Al establecer Scope en Region-specific projects y seleccionar los proyectos especificados en las regiones especificadas, los usuarios solo tienen permisos para instancias de RDS en los proyectos seleccionados. Si establece Scope en All resources, los usuarios tienen permisos para las instancias de RDS en todos los proyectos específicos de la región. Al acceder a instancias de RDS, los usuarios deben cambiar a la región autorizada.
- Roles: Una estrategia de autorización de grano grueso proporcionada por IAM para asignar permisos en función de las responsabilidades del trabajo de los usuarios. Solo un número limitado de roles de nivel de servicio están disponibles para autorización. Los servicios en la nube dependen unos de otros. Cuando concede permisos mediante roles, también debe adjuntar las dependencias de roles existentes. Los roles no son ideales para la autorización detallada y el acceso con privilegios mínimos.
- Políticas: Una estrategia de autorización detallada que define los permisos necesarios para realizar operaciones en recursos específicos en la nube bajo ciertas condiciones. Este tipo de autorización es más flexible y es ideal para el acceso de privilegios mínimos. Por ejemplo, solo puede conceder a los usuarios permiso para gestionar recursos de base de datos de un tipo determinado. La mayoría de las políticas detalladas contienen permisos para API específicas, y los permisos se definen mediante acciones de API. Para ver las acciones de API admitidas por RDS, consulte Permisos y acciones admitidas.
Tabla 1 enumera todos los permisos definidos por el sistema para RDS.
Nombre de rol/política |
Descripción |
Tipo |
Dependencias |
|---|---|---|---|
RDS FullAccess |
Permisos completos para Relational Database Service |
Política definida por el sistema |
Para comprar una instancia de base de datos anual/mensual, configure las siguientes acciones: bss:order:update bss:order:pay
Para utilizar el escalado automático de almacenamiento, configure las siguientes acciones para los usuarios de IAM:
|
RDS ReadOnlyAccess |
Permisos de sólo lectura para el servicio de base de datos relacional |
Política definida por el sistema |
N/A |
RDS ManageAccess |
Permisos de administrador de base de datos para todas las operaciones, excepto la eliminación de recursos de RDS |
Política definida por el sistema |
N/A |
RDS Administrator |
Permisos de administrador para RDS |
Rol definido por el sistema |
Roles Tenant Guest y Server Administrator que se deben adjuntar en el mismo proyecto que el rol RDS Administrator |
Tabla 2 enumera las operaciones comunes admitidas por los permisos definidos por el sistema para RDS.
Operación |
RDS FullAccess |
RDS ReadOnlyAccess |
RDS ManageAccess |
RDS Administrator |
|---|---|---|---|---|
Creación de una instancia de base de datos de RDS |
√ |
x |
√ |
√ |
Eliminación de una instancia de base de datos RDS |
√ |
x |
x |
√ |
Consulta de una lista de instancias de base de datos RDS |
√ |
√ |
√ |
√ |
Operación |
Acciones |
Observaciones |
|---|---|---|
Creación de una instancia de base de datos |
rds:instance:create rds:param:list |
Para seleccionar una VPC, una subred y un grupo de seguridad, configure las siguientes acciones: vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get Para crear una instancia cifrada, configure el permiso de administrador de KMS para el proyecto. Para comprar una instancia de base de datos anual/mensual, configure las siguientes acciones: bss:order:update bss:order:pay |
Cambio de las especificaciones de instancia de base de datos |
rds:instance:modifySpec |
N/A |
Escalamiento del espacio de almacenamiento |
rds:instance:extendSpace |
N/A |
Cambio de un tipo de instancia de base de datos de única a principal/en espera |
rds:instance:singleToHa |
Si la instancia de base de datos única original está cifrada, debe configurar el permiso de administrador de KMS en el proyecto. |
Reinicio de una instancia de base de datos |
rds:instance:restart |
N/A |
Eliminación de una instancia de base de datos |
rds:instance:delete |
N/A |
Consulta de una lista de instancias de base de datos |
rds:instance:list |
N/A |
Consulta de detalles de instancia de base de datos |
rds:instance:list |
Si la VPC, la subred y el grupo de seguridad se muestran en la lista de instancias de base de datos, debe configurar vpc:*:get y vpc:*:list. |
Cambio de la contraseña de una instancia de base de datos |
rds:password:update |
N/A |
Cambio de un puerto de base de datos |
rds:instance:modifyPort |
N/A |
Cambio de una dirección IP flotante |
rds:instance:modifyIp |
Para consultar la lista de direcciones IP no utilizadas, configure las siguientes acciones: vpc:subnets:get vpc:ports:get |
Cambio del nombre de una instancia de base de datos |
rds:instance:modify |
N/A |
Cambio de una ventana de mantenimiento |
rds:instance:modify |
N/A |
Realización de una conmutación manual |
rds:instance:switchover |
N/A |
Cambio del modo de replicación |
rds:instance:modifySynchronizeModel |
N/A |
Cambio de la prioridad de migración por falla |
rds:instance:modifyStrategy |
N/A |
Cambio de un grupo de seguridad |
rds:instance:modifySecurityGroup |
N/A |
Vinculación o desvinculación de una EIP |
rds:instance:modifyPublicAccess |
Para consultar direcciones IP públicas, configure las siguientes acciones: vpc:publicIps:get vpc:publicIps:list |
Modificación de la política de reciclaje |
rds:instance:setRecycleBin |
N/A |
Consulta de la política de reciclaje |
rds:instance:list |
N/A |
Habilitación o deshabilitación de SSL |
rds:instance:modifySSL |
N/A |
Habilitación o deshabilitación del programador de eventos |
rds:instance:modifyEvent |
N/A |
Configuración de la separación de lectura/escritura |
rds:instance:modifyProxy |
N/A |
Solicitud de un nombre de dominio privado |
rds:instance:createDns |
N/A |
Migración de una instancia de base de datos en espera a otra zona de disponibilidad |
rds:instance:create |
La migración de instancia de base de datos en espera implica operaciones en la dirección IP de la subred. Para las instancias de base de datos cifradas, debe configurar el permiso de administrador de KMS en el proyecto. |
Restauración de tablas en un punto específico en el tiempo |
rds:instance:tableRestore |
N/A |
Configuración del permiso TDE |
rds:instance:tde |
Solo se utiliza para instancias de base de datos de RDS for SQL Server. |
Cambio del permiso de host |
rds:instance:modifyHost |
N/A |
Consulta de hosts de la cuenta de base de datos correspondiente |
rds:instance:list |
N/A |
Obtención de una lista de plantillas de parámetros |
rds:param:list |
N/A |
Creación de una plantilla de parámetros |
rds:param:create |
N/A |
Modificación de parámetros en una plantilla de parámetros |
rds:param:modify |
N/A |
Aplicación de plantilla de parámetros |
rds:param:apply |
N/A |
Modificación de parámetros de una instancia de base de datos especificada |
rds:param:modify |
N/A |
Obtención de la plantilla de parámetros de una instancia de base de datos especificada |
rds:param:list |
N/A |
Obtención de parámetros de una plantilla de parámetros especificada |
rds:param:list |
N/A |
Eliminación de una plantilla de parámetro |
rds:param:delete |
N/A |
Restablecimiento de una plantilla de parámetro |
rds:param:reset |
N/A |
Comparación de plantillas de parámetros |
rds:param:list |
N/A |
Guardar parámetros en una plantilla de parámetros |
rds:param:save |
N/A |
Consulta de un tipo de plantilla de parámetro |
rds:param:list |
N/A |
Configuración de una política de copia de seguridad automatizada |
rds:instance:modifyBackupPolicy |
N/A |
Consulta de una política de copia de respaldo automatizada |
rds:instance:list |
N/A |
Creación de una copia de respaldo manual |
rds:backup:create |
N/A |
Obtención de una lista de copia de respaldo |
rds:backup:list |
N/A |
Obtención del vínculo para descargar un archivo de copia de respaldo |
rds:backup:download |
N/A |
Eliminación de una copia de respaldo manual |
rds:backup:delete |
N/A |
Replicación de copia de respaldo |
rds:backup:create |
N/A |
Consulta del intervalo de tiempo de restauración |
rds:instance:list |
N/A |
Restauración de datos en una instancia de base de datos nueva |
rds:instance:create |
Para seleccionar una VPC, una subred y un grupo de seguridad, configure las siguientes acciones: vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get |
Restauración de datos en una instancia de base de datos existente u original |
rds:instance:restoreInPlace |
N/A |
Obtención de la política de limpieza de binlogs |
rds:binlog:get |
N/A |
Combinación de archivos binlog |
rds:binlog:merge |
N/A |
Descarga de un archivo binlog |
rds:binlog:download |
N/A |
Eliminación de un archivo binlog |
rds:binlog:delete |
N/A |
Configuración de una política de borrado de binlogs |
rds:binlog:setPolicy |
N/A |
Obtención de una lista de archivos de copia de respaldo de base de datos |
rds:backup:list |
N/A |
Obtención de una lista de bases de datos de copia de respaldo en un punto de tiempo especificado |
rds:backup:list |
N/A |
Consulta de un registro de errores de base de datos |
rds:log:list |
N/A |
Consulta de un registro lento de la base de datos |
rds:log:list |
N/A |
Descarga de un registro de errores de base de datos |
rds:log:download |
N/A |
Descarga de un registro lento de la base de datos |
rds:log:download |
N/A |
Activación o desactivación de la función de registro de auditoría |
rds:auditlog:operate |
N/A |
Obtención de una lista de registro de auditoría |
rds:auditlog:list |
N/A |
Consulta de la política de registro de auditoría |
rds:auditlog:list |
N/A |
Obtención del enlace para descargar un registro de auditoría |
rds:auditlog:download |
N/A |
Obtención de un registro de conmutación |
rds:log:list |
N/A |
Creación de una base de datos |
rds:database:create |
N/A |
Consulta de detalles sobre bases de datos |
rds:database:list |
N/A |
Consulta de bases de datos autorizadas de un usuario especificado |
rds:database:list |
N/A |
Eliminación de una base de datos |
rds:database:drop |
N/A |
Creación de una cuenta de base de datos |
rds:databaseUser:create |
N/A |
Consulta de detalles sobre cuentas de base de datos |
rds:databaseUser:list |
N/A |
Consulta de cuentas autorizadas de una base de datos especificada |
rds:databaseUser:list |
N/A |
Eliminación de cuenta de base de datos |
rds:databaseUser:drop |
N/A |
Autorización de una cuenta de base de datos |
rds:databasePrivilege:grant |
N/A |
Revocación de permisos de una cuenta de base de datos |
rds:databasePrivilege:revoke |
N/A |
Consulta de una lista de centros de tareas |
rds:task:list |
N/A |
Eliminación de una tarea del centro de tareas |
rds:task:delete |
N/A |
Envío de un pedido para una instancia de base de datos anual/mensual |
bss:order:update |
Para comprar una instancia de base de datos anual/mensual, configure las siguientes acciones: bss:order:pay |
Gestión de una etiqueta |
rds:instance:modify |
Las operaciones relacionadas con las etiquetas dependen del permiso tms:resourceTags:*. |
Configuración del escalado automático |
rds:instance:extendSpace |
Para habilitar el escalado automático, configure las siguientes acciones para los usuarios de IAM en lugar de su cuenta de Huawei:
|
Detener o iniciar una instancia de base de datos |
rds:instance:operateServer |
N/A |
