Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Atualizado em 2024-05-16 GMT+08:00

permissões

Se você precisar atribuir permissões diferentes aos funcionários da sua empresa para acessar seus recursos de DDS, o IAM é uma boa opção para o gerenciamento de permissões refinado. O IAM fornece autenticação de identidade, gerenciamento de permissões e controle de acesso, ajudando você a proteger o acesso aos seus recursos da Huawei Cloud.

Com o IAM, você pode usar sua conta da Huawei Cloud para criar usuários do IAM para seus funcionários e atribuir permissões aos usuários para controlar seu acesso a tipos de recursos específicos. Por exemplo, alguns desenvolvedores de software em sua empresa precisam usar recursos do DDS, mas não devem excluí-los ou executar operações de alto risco. Para alcançar esse resultado, você pode criar usuários do IAM para os desenvolvedores de software e conceder a eles apenas as permissões necessárias para usar os recursos do DDS.

Se sua conta da Huawei Cloud não precisar de usuários individuais do IAM para o gerenciamento de permissões, você pode ignorar este tópico.

O IAM pode ser usado gratuitamente. Você paga apenas pelos recursos em sua conta. Para obter mais informações sobre o IAM, consulte Visão geral de serviço do IAM.

Permissões do DDS

Por padrão, os novos usuários do IAM não têm permissões atribuídas. Você precisa adicionar um usuário a um ou mais grupos e anexar políticas de permissões ou funções a esses grupos Os usuários herdam permissões dos grupos aos quais são adicionados e podem executar operações especificadas em serviços de nuvem com base nas permissões.

O DDS é um serviço de nível de projeto implantado e acessado em regiões físicas específicas. Para atribuir permissões de NoSQL do GaussDB a um grupo de usuários, especifique o escopo como projetos específicos da região e selecione os projetos para que as permissões entrem em vigor. Se All projects estiver selecionado, as permissões entrarão em vigor para o grupo de usuários em todos os projetos específicos da região. Ao acessar o DDS, os usuários precisam mudar para uma região onde foram autorizados a usar o DDS.

Você pode conceder permissões aos usuários usando funções e políticas.

  • Funções: Um tipo de mecanismo de autorização de granulação grosseira que define permissões relacionadas às responsabilidades do usuário. Esse mecanismo fornece apenas um número limitado de funções de nível de serviço para autorização. Ao usar funções para conceder permissões, você também precisa atribuir outras funções das quais as permissões dependem para entrar em vigor. No entanto, as funções não são adequadas para autorização refinada e controle de acesso seguro.
  • Políticas: Um tipo de mecanismo de autorização refinado que define as permissões necessárias para realizar operações em recursos de nuvem específicos sob determinadas condições. Esse mecanismo permite uma autorização baseada em políticas mais flexível, atendendo aos requisitos de controle de acesso seguro. Por exemplo, você pode conceder aos usuários do DDS somente as permissões para gerenciar um determinado tipo de recursos.

Tabela 1 lists all the system-defined roles and policies supported by DDS.

Tabela 1 Funções e políticas definidas pelo sistema suportadas pelo DDS

Nome da política/função do sistema

Descrição

Tipo

Dependência

DDS FullAccess

Todas as operações no DDS.

Política definida pelo sistema

Nenhuma

DDS ReadOnlyAccess

Permissões somente leitura para recursos do DDS. Os usuários concedidos a essas permissões só podem exibir dados do DDS.

Política definida pelo sistema

Nenhuma

DDS ManageAccess

Permissões de DBA no DDS, exceto as operações de deleção da instância de banco de dados do DDS.

Política definida pelo sistema

Nenhuma

DDS Administrator

Administrador do DDS, que tem todas as permissões do serviço.

Função definida pelo sistema

As funções de Tenant Guest e Tenant Administrator precisam ser atribuídas no mesmo projeto.

Tabela 2 lista as operações comuns suportadas por cada política definida pelo sistema ou função do DDS. Selecione as políticas ou funções conforme necessário.

Tabela 2 Operações comuns suportadas pela política do sistema do DDS

Operação

DDS FullAccess

DDS ReadOnlyAccess

DDS ManageAccess

DDS Administrator

Criação de uma instância

x

Consulta de instâncias de BD

Exclusão de uma instância de BD

x

x

Reinicialização de uma instância de BD

x

Realização de um switchover primário/secundário

x

Modificação da porta

x

Redefinição de uma senha

x

SSL modificado

x

Modificação de um grupo de segurança

x

Vinculação e desvinculação de um EIP

x

Expansão do espaço de armazenamento

x

Alteração de classes de instância de DB

x

Adição de nós

x

Exclusão do nó que falha ao ser adicionado

x

x

Modificação de uma política de backup automatizado

x

Renomeação de uma instância de BD

x

Alteração de um endereço IP privado

x

Alteração do modelo de parâmetro associado ao nó em uma instância de DB

x

Mostra de logs lentos originais

x

Habilitação ou desabilitação da auditoria de log local

x

Download de logs de auditoria

x

Exclusão de logs de auditoria

x

x

Download de um arquivo de backup

x

Alteração do modo de cobrança de pagamento por uso para anual/mensal

x

Criação de um backup manual

x

Consulta da lista de backup

Restauração de dados em uma nova instância de DB

x

Restauração de em uma instância de BD existente

x

Exclusão de um backup

x

x

Criação de um modelo de parâmetro

x

Visualização de modelos de parâmetro

Modificação de um modelo de parâmetro

x

Exclusão de um modelo de parâmetro

x

×

Lista do centro de tarefas

x

Tabela 3 lista as operações comuns do DDS e as ações correspondentes. Você pode consultar esta tabela para personalizar as políticas de permissão.

Tabela 3 Operações e acções comuns

Operação

Ações

Âmbito da autorização

Descrição

Página de criação de instância

  • vpc:vpcs:list
  • vpc:subnets:get
  • vpc:securityGroups:get

Compatível:

  • Projetos do IAM
  • Projetos empresariais

A VPC, a sub-rede e o grupo de segurança são exibidos na página de criação da instância.

Criação de uma instância

  • dds:instance:create
  • vpc:vpcs:list
  • vpc:vpcs:get
  • vpc:subnets:get
  • vpc:securityGroups:get
  • vpc:ports:get

Compatível:

  • Projetos do IAM
  • Projetos empresariais

Se a VPC, a sub-rede e o grupo de segurança padrão forem usados, a permissão vpc:*:create deverá ser configurada.

Para criar uma instância criptografada, configure a permissão de KMS Administrator para o projeto.

Consulta de instâncias de banco de dados

dds:instance:list

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Consulta de detalhes de uma instância de banco de dados

dds:instance:list

Compatível:

  • Projetos do IAM
  • Projetos empresariais

Se a VPC, a sub-rede e o grupo de segurança precisarem ser exibidos na página de detalhes da instância, adicione as ações vpc:*:get e vpc:*:list.

Exportação de listas de instância

dds:instance:list

Compatível:

  • Projetos do IAM
  • Projetos empresariais

Se a VPC, a sub-rede e o grupo de segurança forem necessários, adicione as ações vpc:*:get e vpc:*:list.

Exclusão de uma instância de BD

dds:instance:deleteInstance

Compatível:

  • Projetos do IAM
  • Projetos empresariais

Ao excluir uma instância de banco de dados, exclua o endereço IP no lado dos dados.

Reinicialização de uma instância de BD

dds:instance:reboot

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Realização de uma alternância primária/secundária

dds:instance:switchover

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Alteração de uma porta

dds:instance:modifyPort

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Redefinição de uma senha

dds:instance:resetPasswd

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

SSL modificado

dds:instance:modifySSL

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Modificação de um grupo de segurança

dds:instance:modifySecurityGroup

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Vinculação de um EIP

dds:instance:bindPublicIp

Compatível:

  • Projetos do IAM

Ao vincular um EIP, você precisa consultar o EIP criado.

  • Projetos empresariais não são suportados.
  • A autenticação refinada não é suportada.

Para obter detalhes, consulte Endereço IP flutuante.

Desvinculação de um EIP

dds:instance:unbindPublicIp

Compatível:

  • Projetos do IAM
  • Projetos empresariais não são suportados.
  • A autenticação refinada não é suportada.

Para obter detalhes, consulte Endereço IP flutuante.

Expansão de espaço de armazenamento

dds:instance:extendVolume

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Alteração de classes de instância de banco de dados

dds:instance:modifySpec

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Adição de nós

  • dds:instance:extendNode
  • vpc:vpcs:list
  • vpc:vpcs:get
  • vpc:subnets:get
  • vpc:securityGroups:get
  • vpc:ports:get

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Exclusão do nó que falha ao ser adicionado

dds:instance:extendNode

Compatível:

  • Projetos do IAM
  • Projetos empresariais

Se o endereço IP tiver sido criado, mas o procedimento subseqüente falhar, exclua o endereço IP no lado dos dados.

Modificação de uma política de backup automatizado

dds:instance:modifyBackupPolicy

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Renomeação de uma instância de BD

dds:instance:modify

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Alteração de um endereço IP privado

  • dds:instance:modifyVIP
  • vpc:subnets:get
  • vpc:ports:get

Compatível:

  • Projetos do IAM
  • Projetos empresariais

Antes de alterar o endereço IP privado, consulte os endereços IP disponíveis.

Alteração do modelo de parâmetro associado ao nó em uma instância de DB

dds:instance:modifyParameter

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Mostra de logs lentos originais

dds:instance:modifySlowLogPlaintextSwitch

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Habilitação ou desabilitação da auditoria de log local

dds:instances:modifyAuditLogSwitch

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Download de logs de auditoria

dds:instances:downloadAuditLog

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Exclusão de logs de auditoria

dds:instance:deleteAuditLog

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Download de um arquivo de backup

dds:backup:download

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Alteração do modo de cobrança de pagamento por uso para anual/mensal

dds:instances:renew

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Criação de um backup manual

dds:instance:createManualBackup

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Consulta da lista de backup

dds:backup:list

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Restauração de dados em uma nova instância de banco de dados

  • dds:backup:createInstanceFromBackup
  • vpc:vpcs:list
  • vpc:vpcs:get
  • vpc:subnets:get
  • vpc:securityGroups:get
  • vpc:ports:get

Compatível:

  • Projetos do IAM
  • Projetos empresariais

A permissão de KMS Administrator precisa ser configurada para a instância criptografada no projeto.

Restauração em uma instância de BD existente

dds:backup:refreshInstanceFromBackup

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Exclusão de uma cópia de segurança

dds:backup:delete

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Criação de um modelo de parâmetro

dds:param:create

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Visualização de modelos de parâmetros

dds:param:list

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Modificação de um modelo de parâmetro

dds:param:modify

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Exclusão de um modelo de parâmetro

dds:param:delete

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-

Lista do centro de tarefas

dds:task:list

Compatível:

  • Projetos do IAM
  • Projetos empresariais

-