Permisos
Si necesita asignar diferentes permisos al personal de su empresa para acceder a los recursos de TaurusDB, Identity and Access Management (IAM) es una buena opción para la gestión de permisos detallada. IAM proporciona autenticación de identidad, gestión de permisos y control de acceso, lo que le ayuda a proteger el acceso a sus recursos de Huawei Cloud.
Con IAM, puede crear usuarios de IAM y asignar permisos para controlar su acceso a recursos específicos. Por ejemplo, si desea que algunos desarrolladores de software de su empresa usen recursos de TaurusDB pero no desea que eliminen recursos de TaurusDB ni realicen ninguna otra operación de alto riesgo, puede crear usuarios de IAM para los desarrolladores de software y concederles solo los permisos necesarios para usar recursos de TaurusDB.
Si su cuenta de Huawei Cloud no requiere usuarios individuales de IAM para la gestión de permisos, puede omitir esta sección.
IAM es gratuito. Usted paga solo por los recursos de su cuenta. Para obtener más información acerca de IAM, consulte Descripción del servicio IAM.
Permisos de TaurusDB
Los nuevos usuarios de IAM no tienen ningún permiso asignado de forma predeterminada. Primero debe agregarlos a uno o más grupos y adjuntar políticas o roles a estos grupos. A continuación, los usuarios heredan los permisos de los grupos y pueden realizar operaciones específicas en servicios en la nube en función de los permisos que se les han asignado.
TaurusDB es un servicio a nivel de proyecto implementado en regiones físicas específicas. Si establece Scope en Region-specific projects y selecciona los proyectos especificados en las regiones especificadas, los usuarios solo tendrán permisos para instancias de TaurusDB en los proyectos seleccionados. Si establece Scope en All projects, los usuarios tendrán permisos para instancias de TaurusDB en todos los proyectos específicos de la región. Al acceder a instancias de TaurusDB, los usuarios deben cambiar a la región autorizada.
Puede conceder permisos mediante roles y políticas.
- Roles: Una estrategia de autorización de grano grueso proporcionada por IAM para asignar permisos en función de las responsabilidades del trabajo de los usuarios. Solo un número limitado de roles de nivel de servicio están disponibles para autorización. Los servicios en la nube dependen unos de otros. Cuando concede permisos mediante roles, también debe adjuntar las dependencias de roles existentes. Los roles no son ideales para una autorización detallada y un acceso mínimo de permisos.
- Políticas: Una estrategia de autorización detallada que define los permisos necesarios para realizar operaciones en recursos específicos en la nube bajo ciertas condiciones. Este tipo de autorización es más flexible y es ideal para el acceso con menos permisos. Por ejemplo, solo puede conceder a los usuarios permiso para gestionar recursos de base de datos de un tipo determinado. La mayoría de las políticas detalladas contienen permisos para API específicas, y los permisos se definen mediante acciones de API. Para ver las acciones de API admitidas por TaurusDB, consulte Permisos y acciones admitidas.
Tabla 1 enumera todos los permisos de TaurusDB definidos por el sistema.
Nombre de rol/política |
Descripción |
Tipo |
---|---|---|
GaussDB FullAccess |
Permisos completos para TaurusDB |
Política definida por el sistema |
GaussDB ReadOnlyAccess |
Permisos de solo lectura para TaurusDB |
Política definida por el sistema |
Tabla 2 enumera las operaciones comunes admitidas por cada permiso de TaurusDB definido por el sistema.
Operación |
GaussDB FullAccess |
GaussDB ReadOnlyAccess |
---|---|---|
Creación de una instancia de TaurusDB |
Se admite |
No se admite |
Eliminación de una instancia de TaurusDB |
Se admite |
No se admite |
Consulta de instancias de TaurusDB |
Se admite |
Se admite |
Operación |
Acción |
Descripción |
---|---|---|
Modificación de parámetros en una plantilla de parámetros |
gaussdb:param:modify |
- |
Cambio de las especificaciones de instancia de base de datos |
gaussdb:instance:modifySpec |
- |
Creación de una instancia de BD |
gaussdb:instance:create |
Para seleccionar una VPC, una subred y un grupo de seguridad, configure las siguientes acciones: vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get Para crear una instancia cifrada, configure el permiso de administrador de KMS para el proyecto. Para crear instancias anuales/mensuales, configure las siguientes acciones de CBC: bss:renewal:view bss:renewal:update bss:balance:view bss:order:view bss:order:update bss:order:pay Para configurar TDE durante la creación de instancias, configure la siguiente acción: iam:agencies:createServiceLinkedAgencyV5 |
Creación de una copia de respaldo manual |
gaussdb:backup:create |
- |
Consulta de copias de respaldo |
gaussdb:backup:list |
- |
Consulta de logs de errores |
gaussdb:log:list |
- |
Reinicio de una instancia de base de datos |
gaussdb:instance:restart |
- |
Consulta de instancias de base de datos |
gaussdb:instance:list |
- |
Creación de una plantilla de parámetros |
gaussdb:param:create |
- |
Eliminación de una plantilla de parámetros |
gaussdb:param:delete |
- |
Modificación de una política de copia de respaldo |
gaussdb:instance:modifyBackupPolicy |
- |
Consulta de plantillas de parámetros. |
gaussdb:param:list |
- |
Eliminación de una instancia de base de datos |
gaussdb:instance:delete |
Para cancelar la suscripción de una instancia anual/mensual, configure la siguiente acción: bss:unsubscribe:update |
Eliminación de una copia de respaldo manual |
gaussdb:backup:delete |
- |
Consulta de etiquetas de proyecto |
gaussdb:tag:list |
- |
Aplicación de una plantilla de parámetros |
gaussdb:param:apply |
- |
Agregar o eliminar etiquetas de proyecto por lotes |
gaussdb:instance:dealTag |
- |
Cambio de cuotas |
gaussdb:quota:modify |
- |
Actualización de una versión de instancia de base de datos |
gaussdb:instance:upgrade |
- |
Promoción de una réplica de lectura en el nodo principal |
gaussdb:instance:switchover |
- |
Cambio de puerto de base de datos |
gaussdb:instance:modifyPort |
- |
Cambio de un grupo de seguridad |
gaussdb:instance:modifySecurityGroup |
- |
Cambio de la dirección IP privada |
gaussdb:instance:modifyIp |
Para seleccionar una dirección IP, configure las siguientes acciones: vpc:vpcs:list vpc:vpcs:get |
Habilitación o deshabilitación de SSL |
gaussdb:instance:modifySSL |
- |
Cambio del nombre de una instancia |
gaussdb:instance:rename |
- |
Adición de réplicas de lectura |
gaussdb:instance:addNodes |
- |
Eliminación de réplicas de lectura |
gaussdb:instance:deleteNodes |
- |
Escalamiento del espacio de almacenamiento |
gaussdb:instance:modifyStorageSize |
- |
Cambio de la contraseña de una instancia de base de datos |
gaussdb:instance:modifyPassword |
- |
Vinculación de una EIP a una instancia de base de datos |
gaussdb:instance:bindPublicIp |
Para mostrar las EIP en la consola, configure: vpc:publicIps:get vpc:publicIps:list |
Desvinculación de una EIP de una instancia de base de datos |
gaussdb:instance:unbindPublicIp |
- |
Modificación de una política de supervisión |
gaussdb:instance:modifyMonitorPolicy |
- |
Cambio de una prioridad de conmutación por error |
gaussdb:instance:modifySwitchoverPriority |
- |
Cambio de la ventana de mantenimiento |
gaussdb:instance:modifyMaintenanceWindow |
- |
Aislamiento de nodos |
gaussdb:instance:isolateNodes |
- |
Habilitación o deshabilitación del Explorador de SQL |
gaussdb:instance:modifyTraceSQLPolicy |
- |
Consulta de instancias HTAP |
gaussdb:htapInstance:list |
- |
Creación de una instancia HTAP |
gaussdb:htapInstance:create |
- |
Modificación de una instancia HTAP de GaussDB. |
gaussdb:htapInstance:modify |
- |
Eliminación de una instancia de HTAP |
gaussdb:htapInstance:delete |
- |
Cambio de un nombre de instancia HTAP |
gaussdb:htapInstance:rename |
- |
Reinicio de una instancia HTAP |
gaussdb:htapInstance:restart |
- |
Actualización de una versión de instancia HTAP |
gaussdb:htapInstance:upgrade |
- |
Promoción de una réplica de lectura de una instancia HTAP a primaria |
gaussdb:htapInstance:switchover |
- |
Cambio de las especificaciones de una instancia HTAP |
gaussdb:htapInstance:modifySpec |
- |
Ampliación del almacenamiento de una instancia HTAP |
gaussdb:htapInstance:modifyStorageSize |
- |
Vinculación de una EIP para una instancia de HTAP |
gaussdb:htapInstance:bindPublicIp |
- |
Desvinculación de una EIP de una instancia de HTAP |
gaussdb:htapInstance:unbindPublicIp |
- |
Cambio del puerto de una instancia de HTAP |
gaussdb:htapInstance:modifyPort |
- |
Cambio de la contraseña de instancia de HTAP |
gaussdb:htapInstance:modifyPassword |
- |
Creación de una Tarea de Sincronización de Datos HTAP |
gaussdb:htapInstance:createDataSync |
- |
Modificación de una tarea de sincronización de datos de HTAP |
gaussdb:htapInstance:modifyDataSync |
- |
Eliminación de una tarea de sincronización de datos HTAP |
gaussdb:htapInstance:deleteDataSync |
- |
Creación de una instancia proxy de base de datos |
gaussdb:proxy:create |
- |
Cambio de la dirección IP de una instancia de proxy |
gaussdb:proxy:modifyIp |
- |
Modificación de los pesos de lectura de una instancia proxy |
gaussdb:proxy:modifyWeight |
- |
Cambio del puerto proxy de la base de datos |
gaussdb:proxy:modifyPort |
- |
Modificación del control de acceso de proxy de base de datos |
gaussdb:proxy:modifyAccess |
- |
Eliminación de una instancia de proxy |
gaussdb:proxy:delete |
- |
Consulta de instancias de proxy |
gaussdb:proxy:list |
- |
Actualización de una versión de instancia de proxy |
gaussdb:proxy:upgrade |
- |
Cambio del nombre de una instancia de proxy |
gaussdb:proxy:rename |
- |
Adición de nodos de proxy de base de datos |
gaussdb:proxy:addNodes |
- |
Eliminación de nodos proxy de base de datos |
gaussdb:proxy:deleteNodes |
- |
Cambio de las especificaciones de una instancia de proxy |
gaussdb:proxy:modifySpec |
- |
Solicitud de un nombre de dominio privado para una instancia proxy de base de datos |
gaussdb:proxy:createDns |
- |
Cambio del nombre de dominio de la instancia de proxy |
gaussdb:proxy:modifyDns |
- |
Eliminar el nombre de dominio de una instancia de proxy |
gaussdb:proxy:deleteDns |
- |
Cambio de la política de enrutamiento de una instancia de proxy |
gaussdb:proxy:modifyRouteMode |
- |
Habilitación o deshabilitación de SSL para una instancia de proxy |
gaussdb:proxy:modifySSL |
- |
Creación de usuarios de base de datos |
gaussdb:user:create |
- |
Eliminación de usuarios de base de datos |
gaussdb:user:delete |
- |
Cambio de la contraseña de un usuario de base de datos |
gaussdb:user:modify |
- |
Consulta de usuarios de base de datos |
gaussdb:user:list |
- |
Autorización de permisos de base de datos a los usuarios |
gaussdb:user:grantPrivilege |
- |
Revocación de los permisos de base de datos de los usuarios |
gaussdb:user:revokePrivilege |
- |
Creación de bases de datos |
gaussdb:database:create |
- |
Eliminación de bases de datos |
gaussdb:database:delete |
- |
Consulta de bases de datos |
gaussdb:database:list |
- |
Consulta de etiquetas predefinidas |
- |
Para consultar etiquetas predefinidas, configure la siguiente acción: tms:resourceTags:list |
Consulta de grupos de logs configurados |
- |
Para consultar grupos de logs configurados, configure la siguiente acción: lts:groups:get |
Consulta de flujos de log configurados |
- |
Para consultar los flujos de log configurados, configure la siguiente acción: lts:topics:get |
Modificación de políticas de escalado automático |
gaussdb:autoscaling:createPolicy |
Para modificar las políticas de escalado automático, configure la siguiente acción: iam:agencies:listAgencies |