Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Cómputo
Elastic Cloud Server
Bare Metal Server
Auto Scaling
Image Management Service
Dedicated Host
FunctionGraph
Cloud Phone Host
Huawei Cloud EulerOS
Redes
Virtual Private Cloud
Elastic IP
Elastic Load Balance
NAT Gateway
Direct Connect
Virtual Private Network
VPC Endpoint
Cloud Connect
Enterprise Router
Enterprise Switch
Global Accelerator
Gestión y gobernanza
Cloud Eye
Identity and Access Management
Cloud Trace Service
Resource Formation Service
Tag Management Service
Log Tank Service
Config
Resource Access Manager
Simple Message Notification
Application Performance Management
Application Operations Management
Organizations
Optimization Advisor
Cloud Operations Center
Resource Governance Center
Migración
Server Migration Service
Object Storage Migration Service
Cloud Data Migration
Migration Center
Cloud Ecosystem
KooGallery
Partner Center
User Support
My Account
Billing Center
Cost Center
Resource Center
Enterprise Management
Service Tickets
HUAWEI CLOUD (International) FAQs
ICP Filing
Support Plans
My Credentials
Customer Operation Capabilities
Partner Support Plans
Professional Services
Análisis
MapReduce Service
Data Lake Insight
CloudTable Service
Cloud Search Service
Data Lake Visualization
Data Ingestion Service
GaussDB(DWS)
DataArts Studio
IoT
IoT Device Access
Otros
Product Pricing Details
System Permissions
Console Quick Start
Common FAQs
Instructions for Associating with a HUAWEI CLOUD Partner
Message Center
Seguridad y cumplimiento
Security Technologies and Applications
Web Application Firewall
Host Security Service
Cloud Firewall
SecMaster
Data Encryption Workshop
Database Security Service
Cloud Bastion Host
Data Security Center
Cloud Certificate Manager
Situation Awareness
Managed Threat Detection
Blockchain
Blockchain Service
Servicios multimedia
Media Processing Center
Video On Demand
Live
SparkRTC
Almacenamiento
Object Storage Service
Elastic Volume Service
Cloud Backup and Recovery
Storage Disaster Recovery Service
Scalable File Service
Volume Backup Service
Cloud Server Backup Service
Data Express Service
Dedicated Distributed Storage Service
Contenedores
Cloud Container Engine
SoftWare Repository for Container
Application Service Mesh
Ubiquitous Cloud Native Service
Cloud Container Instance
Bases de datos
Relational Database Service
Document Database Service
Data Admin Service
Data Replication Service
GeminiDB
GaussDB
Distributed Database Middleware
Database and Application Migration UGO
TaurusDB
Middleware
Distributed Cache Service
API Gateway
Distributed Message Service for Kafka
Distributed Message Service for RabbitMQ
Distributed Message Service for RocketMQ
Cloud Service Engine
EventGrid
Dedicated Cloud
Dedicated Computing Cluster
Aplicaciones empresariales
ROMA Connect
Message & SMS
Domain Name Service
Edge Data Center Management
Meeting
AI
Face Recognition Service
Graph Engine Service
Content Moderation
Image Recognition
Data Lake Factory
Optical Character Recognition
ModelArts
ImageSearch
Conversational Bot Service
Speech Interaction Service
Huawei HiLens
Developer Tools
SDK Developer Guide
API Request Signing Guide
Terraform
Koo Command Line Interface
Distribución de contenido y cómputo de borde
Content Delivery Network
Intelligent EdgeFabric
CloudPond
Soluciones
SAP Cloud
High Performance Computing
Servicios para desarrolladores
ServiceStage
CodeArts
CodeArts PerfTest
CodeArts Req
CodeArts Pipeline
CodeArts Build
CodeArts Deploy
CodeArts Artifact
CodeArts TestPlan
CodeArts Check
Cloud Application Engine
aPaaS MacroVerse
KooPhone
KooDrive
En esta página

Mostrar todo

Permisos

Actualización más reciente 2024-06-05 GMT+08:00

Si necesita asignar diferentes permisos al personal de su empresa para acceder a los recursos de RDS, Identity and Access Management (IAM) es una buena opción para la gestión de permisos detallada. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso, lo que le ayuda a acceder de forma segura a sus recursos en la nube.

Con IAM, puede crear usuarios de IAM y asignar permisos para controlar su acceso a recursos específicos. Por ejemplo, si desea que algunos desarrolladores de software de su empresa usen recursos de RDS pero no desea que eliminen instancias de RDS ni realicen otras operaciones de alto riesgo, puede crear usuarios de IAM y conceder permiso para usar instancias de RDS, pero no permiso para eliminarlas.

Si su cuenta de Huawei no requiere usuarios individuales de IAM para la gestión de permisos, puede omitir esta sección.

IAM es un servicio gratuito. Solo paga por los recursos de su cuenta. Para obtener más información acerca de IAM, consulte Descripción general del servicio IAM.

Permisos de RDS

Los nuevos usuarios de IAM no tienen ningún permiso asignado de forma predeterminada. Primero debe agregarlos a uno o más grupos y adjuntar políticas o roles a estos grupos. A continuación, los usuarios heredan los permisos de los grupos y pueden realizar operaciones específicas en servicios en la nube en función de los permisos que se les han asignado.

RDS es un servicio a nivel de proyecto desplegado para regiones específicas. Al establecer Scope en Region-specific projects y seleccionar los proyectos especificados en las regiones especificadas, los usuarios solo tienen permisos para instancias de RDS en los proyectos seleccionados. Si establece Scope en All resources, los usuarios tienen permisos para las instancias de RDS en todos los proyectos específicos de la región. Al acceder a instancias de RDS, los usuarios deben cambiar a la región autorizada.

Puede conceder permisos a los usuarios mediante roles y políticas.
  • Roles: Una estrategia de autorización de grano grueso proporcionada por IAM para asignar permisos en función de las responsabilidades del trabajo de los usuarios. Solo un número limitado de roles de nivel de servicio están disponibles para autorización. Los servicios en la nube dependen unos de otros. Cuando concede permisos mediante roles, también debe adjuntar las dependencias de roles existentes. Los roles no son ideales para la autorización detallada y el acceso con privilegios mínimos.
  • Políticas: Una estrategia de autorización detallada que define los permisos necesarios para realizar operaciones en recursos específicos en la nube bajo ciertas condiciones. Este tipo de autorización es más flexible y es ideal para el acceso de privilegios mínimos. Por ejemplo, solo puede conceder a los usuarios permiso para gestionar recursos de base de datos de un tipo determinado. La mayoría de las políticas detalladas contienen permisos para API específicas, y los permisos se definen mediante acciones de API. Para ver las acciones de API admitidas por RDS, consulte Permisos y acciones admitidas.

Tabla 1 enumera todos los permisos definidos por el sistema para RDS.

Tabla 1 Permisos definidos por el sistema para RDS

Nombre de rol/política

Descripción

Tipo

Dependencias

RDS FullAccess

Permisos completos para Relational Database Service

Política definida por el sistema

Para comprar una instancia de base de datos anual/mensual, configure las siguientes acciones:

bss:order:update

bss:order:pay

Para utilizar el escalado automático de almacenamiento, configure las siguientes acciones para los usuarios de IAM:
  • Creación de una política personalizada:
    • iam:agencies:listAgencies
    • iam:agencies:createAgency
    • iam:permissions:listRolesForAgencyOnProject
    • iam:permissions:grantRoleToGroupOnProject
    • iam:roles:listRoles
  • Adición de función de sistema Security Administrator:
    1. Seleccione un grupo de usuarios al que pertenece el usuario.
    2. Haga clic en Authorize en la columna Operation.
    3. Agregue el rol Security Administrator.

RDS ReadOnlyAccess

Permisos de sólo lectura para el servicio de base de datos relacional

Política definida por el sistema

N/A

RDS ManageAccess

Permisos de administrador de base de datos para todas las operaciones, excepto la eliminación de recursos de RDS

Política definida por el sistema

N/A

RDS Administrator

Permisos de administrador para RDS

Rol definido por el sistema

Roles Tenant Guest y Server Administrator que se deben adjuntar en el mismo proyecto que el rol RDS Administrator

Tabla 2 enumera las operaciones comunes admitidas por los permisos definidos por el sistema para RDS.

Tabla 2 Operaciones comunes admitidas por permisos definidos por el sistema

Operación

RDS FullAccess

RDS ReadOnlyAccess

RDS ManageAccess

RDS Administrator

Creación de una instancia de base de datos de RDS

x

Eliminación de una instancia de base de datos RDS

x

x

Consulta de una lista de instancias de base de datos RDS

Tabla 3 Operaciones comunes y acciones apoyadas

Operación

Acciones

Observaciones

Creación de una instancia de base de datos

rds:instance:create

rds:param:list

Para seleccionar una VPC, una subred y un grupo de seguridad, configure las siguientes acciones:

vpc:vpcs:list

vpc:vpcs:get

vpc:subnets:get

vpc:securityGroups:get

Para crear una instancia cifrada, configure el permiso de administrador de KMS para el proyecto.

Para comprar una instancia de base de datos anual/mensual, configure las siguientes acciones:

bss:order:update

bss:order:pay

Cambio de las especificaciones de instancia de base de datos

rds:instance:modifySpec

N/A

Escalamiento del espacio de almacenamiento

rds:instance:extendSpace

N/A

Cambio de un tipo de instancia de base de datos de única a principal/en espera

rds:instance:singleToHa

Si la instancia de base de datos única original está cifrada, debe configurar el permiso de administrador de KMS en el proyecto.

Reinicio de una instancia de base de datos

rds:instance:restart

N/A

Eliminación de una instancia de base de datos

rds:instance:delete

N/A

Consulta de una lista de instancias de base de datos

rds:instance:list

N/A

Consulta de detalles de instancia de base de datos

rds:instance:list

Si la VPC, la subred y el grupo de seguridad se muestran en la lista de instancias de base de datos, debe configurar vpc:*:get y vpc:*:list.

Cambio de la contraseña de una instancia de base de datos

rds:password:update

N/A

Cambio de un puerto de base de datos

rds:instance:modifyPort

N/A

Cambio de una dirección IP flotante

rds:instance:modifyIp

Para consultar la lista de direcciones IP no utilizadas, configure las siguientes acciones:

vpc:subnets:get

vpc:ports:get

Cambio del nombre de una instancia de base de datos

rds:instance:modify

N/A

Cambio de una ventana de mantenimiento

rds:instance:modify

N/A

Realización de una conmutación manual

rds:instance:switchover

N/A

Cambio del modo de replicación

rds:instance:modifySynchronizeModel

N/A

Cambio de la prioridad de migración por falla

rds:instance:modifyStrategy

N/A

Cambio de un grupo de seguridad

rds:instance:modifySecurityGroup

N/A

Vinculación o desvinculación de una EIP

rds:instance:modifyPublicAccess

Para consultar direcciones IP públicas, configure las siguientes acciones:

vpc:publicIps:get

vpc:publicIps:list

Modificación de la política de reciclaje

rds:instance:setRecycleBin

N/A

Consulta de la política de reciclaje

rds:instance:list

N/A

Habilitación o deshabilitación de SSL

rds:instance:modifySSL

N/A

Habilitación o deshabilitación del programador de eventos

rds:instance:modifyEvent

N/A

Configuración de la separación de lectura/escritura

rds:instance:modifyProxy

N/A

Solicitud de un nombre de dominio privado

rds:instance:createDns

N/A

Migración de una instancia de base de datos en espera a otra zona de disponibilidad

rds:instance:create

La migración de instancia de base de datos en espera implica operaciones en la dirección IP de la subred. Para las instancias de base de datos cifradas, debe configurar el permiso de administrador de KMS en el proyecto.

Restauración de tablas en un punto específico en el tiempo

rds:instance:tableRestore

N/A

Configuración del permiso TDE

rds:instance:tde

Solo se utiliza para instancias de base de datos de RDS for SQL Server.

Cambio del permiso de host

rds:instance:modifyHost

N/A

Consulta de hosts de la cuenta de base de datos correspondiente

rds:instance:list

N/A

Obtención de una lista de plantillas de parámetros

rds:param:list

N/A

Creación de una plantilla de parámetros

rds:param:create

N/A

Modificación de parámetros en una plantilla de parámetros

rds:param:modify

N/A

Aplicación de plantilla de parámetros

rds:param:apply

N/A

Modificación de parámetros de una instancia de base de datos especificada

rds:param:modify

N/A

Obtención de la plantilla de parámetros de una instancia de base de datos especificada

rds:param:list

N/A

Obtención de parámetros de una plantilla de parámetros especificada

rds:param:list

N/A

Eliminación de una plantilla de parámetro

rds:param:delete

N/A

Restablecimiento de una plantilla de parámetro

rds:param:reset

N/A

Comparación de plantillas de parámetros

rds:param:list

N/A

Guardar parámetros en una plantilla de parámetros

rds:param:save

N/A

Consulta de un tipo de plantilla de parámetro

rds:param:list

N/A

Configuración de una política de copia de seguridad automatizada

rds:instance:modifyBackupPolicy

N/A

Consulta de una política de copia de respaldo automatizada

rds:instance:list

N/A

Creación de una copia de respaldo manual

rds:backup:create

N/A

Obtención de una lista de copia de respaldo

rds:backup:list

N/A

Obtención del vínculo para descargar un archivo de copia de respaldo

rds:backup:download

N/A

Eliminación de una copia de respaldo manual

rds:backup:delete

N/A

Replicación de copia de respaldo

rds:backup:create

N/A

Consulta del intervalo de tiempo de restauración

rds:instance:list

N/A

Restauración de datos en una instancia de base de datos nueva

rds:instance:create

Para seleccionar una VPC, una subred y un grupo de seguridad, configure las siguientes acciones:

vpc:vpcs:list

vpc:vpcs:get

vpc:subnets:get

vpc:securityGroups:get

Restauración de datos en una instancia de base de datos existente u original

rds:instance:restoreInPlace

N/A

Obtención de la política de limpieza de binlogs

rds:binlog:get

N/A

Combinación de archivos binlog

rds:binlog:merge

N/A

Descarga de un archivo binlog

rds:binlog:download

N/A

Eliminación de un archivo binlog

rds:binlog:delete

N/A

Configuración de una política de borrado de binlogs

rds:binlog:setPolicy

N/A

Obtención de una lista de archivos de copia de respaldo de base de datos

rds:backup:list

N/A

Obtención de una lista de bases de datos de copia de respaldo en un punto de tiempo especificado

rds:backup:list

N/A

Consulta de un registro de errores de base de datos

rds:log:list

N/A

Consulta de un registro lento de la base de datos

rds:log:list

N/A

Descarga de un registro de errores de base de datos

rds:log:download

N/A

Descarga de un registro lento de la base de datos

rds:log:download

N/A

Activación o desactivación de la función de registro de auditoría

rds:auditlog:operate

N/A

Obtención de una lista de registro de auditoría

rds:auditlog:list

N/A

Consulta de la política de registro de auditoría

rds:auditlog:list

N/A

Obtención del enlace para descargar un registro de auditoría

rds:auditlog:download

N/A

Obtención de un registro de conmutación

rds:log:list

N/A

Creación de una base de datos

rds:database:create

N/A

Consulta de detalles sobre bases de datos

rds:database:list

N/A

Consulta de bases de datos autorizadas de un usuario especificado

rds:database:list

N/A

Eliminación de una base de datos

rds:database:drop

N/A

Creación de una cuenta de base de datos

rds:databaseUser:create

N/A

Consulta de detalles sobre cuentas de base de datos

rds:databaseUser:list

N/A

Consulta de cuentas autorizadas de una base de datos especificada

rds:databaseUser:list

N/A

Eliminación de cuenta de base de datos

rds:databaseUser:drop

N/A

Autorización de una cuenta de base de datos

rds:databasePrivilege:grant

N/A

Revocación de permisos de una cuenta de base de datos

rds:databasePrivilege:revoke

N/A

Consulta de una lista de centros de tareas

rds:task:list

N/A

Eliminación de una tarea del centro de tareas

rds:task:delete

N/A

Envío de un pedido para una instancia de base de datos anual/mensual

bss:order:update

Para comprar una instancia de base de datos anual/mensual, configure las siguientes acciones:

bss:order:pay

Gestión de una etiqueta

rds:instance:modify

Las operaciones relacionadas con las etiquetas dependen del permiso tms:resourceTags:*.

Configuración del escalado automático

rds:instance:extendSpace

Para habilitar el escalado automático, configure las siguientes acciones para los usuarios de IAM en lugar de su cuenta de Huawei:

  • Creación de una política personalizada
    • iam:agencies:listAgencies
    • iam:agencies:createAgency
    • iam:permissions:listRolesForAgencyOnProject
    • iam:permissions:grantRoleToGroupOnProject
    • iam:roles:listRoles
  • Adición de función de sistema Security Administrator:
    1. Seleccione un grupo de usuarios al que pertenece el usuario.
    2. Haga clic en Authorize en la columna Operation.
    3. Agregue el rol Security Administrator.

Detener o iniciar una instancia de base de datos

rds:instance:operateServer

N/A

Utilizamos cookies para mejorar nuestro sitio y tu experiencia. Al continuar navegando en nuestro sitio, tú aceptas nuestra política de cookies. Descubre más

Comentarios

Comentarios

Comentarios

0/500

Seleccionar contenido

Enviar el contenido seleccionado con los comentarios