permissões
Se você precisar atribuir permissões diferentes aos funcionários da sua empresa para acessar seus recursos de DDS, o IAM é uma boa opção para o gerenciamento de permissões refinado. O IAM fornece autenticação de identidade, gerenciamento de permissões e controle de acesso, ajudando você a proteger o acesso aos seus recursos da Huawei Cloud.
Com o IAM, você pode usar sua conta da Huawei Cloud para criar usuários do IAM para seus funcionários e atribuir permissões aos usuários para controlar seu acesso a tipos de recursos específicos. Por exemplo, alguns desenvolvedores de software em sua empresa precisam usar recursos do DDS, mas não devem excluí-los ou executar operações de alto risco. Para alcançar esse resultado, você pode criar usuários do IAM para os desenvolvedores de software e conceder a eles apenas as permissões necessárias para usar os recursos do DDS.
Se sua conta da Huawei Cloud não precisar de usuários individuais do IAM para o gerenciamento de permissões, você pode ignorar este tópico.
O IAM pode ser usado gratuitamente. Você paga apenas pelos recursos em sua conta. Para obter mais informações sobre o IAM, consulte Visão geral de serviço do IAM.
Permissões do DDS
Por padrão, os novos usuários do IAM não têm permissões atribuídas. Você precisa adicionar um usuário a um ou mais grupos e anexar políticas de permissões ou funções a esses grupos Os usuários herdam permissões dos grupos aos quais são adicionados e podem executar operações especificadas em serviços de nuvem com base nas permissões.
O DDS é um serviço de nível de projeto implantado e acessado em regiões físicas específicas. Para atribuir permissões de NoSQL do GaussDB a um grupo de usuários, especifique o escopo como projetos específicos da região e selecione os projetos para que as permissões entrem em vigor. Se All projects estiver selecionado, as permissões entrarão em vigor para o grupo de usuários em todos os projetos específicos da região. Ao acessar o DDS, os usuários precisam mudar para uma região onde foram autorizados a usar o DDS.
Você pode conceder permissões aos usuários usando funções e políticas.
- Funções: Um tipo de mecanismo de autorização de granulação grosseira que define permissões relacionadas às responsabilidades do usuário. Esse mecanismo fornece apenas um número limitado de funções de nível de serviço para autorização. Ao usar funções para conceder permissões, você também precisa atribuir outras funções das quais as permissões dependem para entrar em vigor. No entanto, as funções não são adequadas para autorização refinada e controle de acesso seguro.
- Políticas: Um tipo de mecanismo de autorização refinado que define as permissões necessárias para realizar operações em recursos de nuvem específicos sob determinadas condições. Esse mecanismo permite uma autorização baseada em políticas mais flexível, atendendo aos requisitos de controle de acesso seguro. Por exemplo, você pode conceder aos usuários do DDS somente as permissões para gerenciar um determinado tipo de recursos.
Tabela 1 lists all the system-defined roles and policies supported by DDS.
Nome da política/função do sistema |
Descrição |
Tipo |
Dependência |
|---|---|---|---|
DDS FullAccess |
Todas as operações no DDS. |
Política definida pelo sistema |
Nenhuma |
DDS ReadOnlyAccess |
Permissões somente leitura para recursos do DDS. Os usuários concedidos a essas permissões só podem exibir dados do DDS. |
Política definida pelo sistema |
Nenhuma |
DDS ManageAccess |
Permissões de DBA no DDS, exceto as operações de deleção da instância de banco de dados do DDS. |
Política definida pelo sistema |
Nenhuma |
DDS Administrator |
Administrador do DDS, que tem todas as permissões do serviço. |
Função definida pelo sistema |
As funções de Tenant Guest e Tenant Administrator precisam ser atribuídas no mesmo projeto. |
Tabela 2 lista as operações comuns suportadas por cada política definida pelo sistema ou função do DDS. Selecione as políticas ou funções conforme necessário.
Operação |
DDS FullAccess |
DDS ReadOnlyAccess |
DDS ManageAccess |
DDS Administrator |
|---|---|---|---|---|
Criação de uma instância |
√ |
x |
√ |
√ |
Consulta de instâncias de BD |
√ |
√ |
√ |
√ |
Exclusão de uma instância de BD |
√ |
x |
x |
√ |
Reinicialização de uma instância de BD |
√ |
x |
√ |
√ |
Realização de um switchover primário/secundário |
√ |
x |
√ |
√ |
Modificação da porta |
√ |
x |
√ |
√ |
Redefinição de uma senha |
√ |
x |
√ |
√ |
SSL modificado |
√ |
x |
√ |
√ |
Modificação de um grupo de segurança |
√ |
x |
√ |
√ |
Vinculação e desvinculação de um EIP |
√ |
x |
√ |
√ |
Expansão do espaço de armazenamento |
√ |
x |
√ |
√ |
Alteração de classes de instância de DB |
√ |
x |
√ |
√ |
Adição de nós |
√ |
x |
√ |
√ |
Exclusão do nó que falha ao ser adicionado |
√ |
x |
x |
√ |
Modificação de uma política de backup automatizado |
√ |
x |
√ |
√ |
Renomeação de uma instância de BD |
√ |
x |
√ |
√ |
Alteração de um endereço IP privado |
√ |
x |
√ |
√ |
Alteração do modelo de parâmetro associado ao nó em uma instância de DB |
√ |
x |
√ |
√ |
Mostra de logs lentos originais |
√ |
x |
√ |
√ |
Habilitação ou desabilitação da auditoria de log local |
√ |
x |
√ |
√ |
Download de logs de auditoria |
√ |
x |
√ |
√ |
Exclusão de logs de auditoria |
√ |
x |
x |
√ |
Download de um arquivo de backup |
√ |
x |
√ |
√ |
Alteração do modo de cobrança de pagamento por uso para anual/mensal |
√ |
x |
√ |
√ |
Criação de um backup manual |
√ |
x |
√ |
√ |
Consulta da lista de backup |
√ |
√ |
√ |
√ |
Restauração de dados em uma nova instância de DB |
√ |
x |
√ |
√ |
Restauração de em uma instância de BD existente |
√ |
x |
√ |
√ |
Exclusão de um backup |
√ |
x |
x |
√ |
Criação de um modelo de parâmetro |
√ |
x |
√ |
√ |
Visualização de modelos de parâmetro |
√ |
√ |
√ |
√ |
Modificação de um modelo de parâmetro |
√ |
x |
√ |
√ |
Exclusão de um modelo de parâmetro |
√ |
x |
× |
√ |
Lista do centro de tarefas |
√ |
x |
√ |
√ |
Tabela 3 lista as operações comuns do DDS e as ações correspondentes. Você pode consultar esta tabela para personalizar as políticas de permissão.
Operação |
Ações |
Âmbito da autorização |
Descrição |
|---|---|---|---|
Página de criação de instância |
|
Compatível:
|
A VPC, a sub-rede e o grupo de segurança são exibidos na página de criação da instância. |
Criação de uma instância |
|
Compatível:
|
Se a VPC, a sub-rede e o grupo de segurança padrão forem usados, a permissão vpc:*:create deverá ser configurada. Para criar uma instância criptografada, configure a permissão de KMS Administrator para o projeto. |
Consulta de instâncias de banco de dados |
dds:instance:list |
Compatível:
|
- |
Consulta de detalhes de uma instância de banco de dados |
dds:instance:list |
Compatível:
|
Se a VPC, a sub-rede e o grupo de segurança precisarem ser exibidos na página de detalhes da instância, adicione as ações vpc:*:get e vpc:*:list. |
Exportação de listas de instância |
dds:instance:list |
Compatível:
|
Se a VPC, a sub-rede e o grupo de segurança forem necessários, adicione as ações vpc:*:get e vpc:*:list. |
Exclusão de uma instância de BD |
dds:instance:deleteInstance |
Compatível:
|
Ao excluir uma instância de banco de dados, exclua o endereço IP no lado dos dados. |
Reinicialização de uma instância de BD |
dds:instance:reboot |
Compatível:
|
- |
Realização de uma alternância primária/secundária |
dds:instance:switchover |
Compatível:
|
- |
Alteração de uma porta |
dds:instance:modifyPort |
Compatível:
|
- |
Redefinição de uma senha |
dds:instance:resetPasswd |
Compatível:
|
- |
SSL modificado |
dds:instance:modifySSL |
Compatível:
|
- |
Modificação de um grupo de segurança |
dds:instance:modifySecurityGroup |
Compatível:
|
- |
Vinculação de um EIP |
dds:instance:bindPublicIp |
Compatível:
|
Ao vincular um EIP, você precisa consultar o EIP criado.
Para obter detalhes, consulte Endereço IP flutuante. |
Desvinculação de um EIP |
dds:instance:unbindPublicIp |
Compatível:
|
Para obter detalhes, consulte Endereço IP flutuante. |
Expansão de espaço de armazenamento |
dds:instance:extendVolume |
Compatível:
|
- |
Alteração de classes de instância de banco de dados |
dds:instance:modifySpec |
Compatível:
|
- |
Adição de nós |
|
Compatível:
|
- |
Exclusão do nó que falha ao ser adicionado |
dds:instance:extendNode |
Compatível:
|
Se o endereço IP tiver sido criado, mas o procedimento subseqüente falhar, exclua o endereço IP no lado dos dados. |
Modificação de uma política de backup automatizado |
dds:instance:modifyBackupPolicy |
Compatível:
|
- |
Renomeação de uma instância de BD |
dds:instance:modify |
Compatível:
|
- |
Alteração de um endereço IP privado |
|
Compatível:
|
Antes de alterar o endereço IP privado, consulte os endereços IP disponíveis. |
Alteração do modelo de parâmetro associado ao nó em uma instância de DB |
dds:instance:modifyParameter |
Compatível:
|
- |
Mostra de logs lentos originais |
dds:instance:modifySlowLogPlaintextSwitch |
Compatível:
|
- |
Habilitação ou desabilitação da auditoria de log local |
dds:instances:modifyAuditLogSwitch |
Compatível:
|
- |
Download de logs de auditoria |
dds:instances:downloadAuditLog |
Compatível:
|
- |
Exclusão de logs de auditoria |
dds:instance:deleteAuditLog |
Compatível:
|
- |
Download de um arquivo de backup |
dds:backup:download |
Compatível:
|
- |
Alteração do modo de cobrança de pagamento por uso para anual/mensal |
dds:instances:renew |
Compatível:
|
- |
Criação de um backup manual |
dds:instance:createManualBackup |
Compatível:
|
- |
Consulta da lista de backup |
dds:backup:list |
Compatível:
|
- |
Restauração de dados em uma nova instância de banco de dados |
|
Compatível:
|
A permissão de KMS Administrator precisa ser configurada para a instância criptografada no projeto. |
Restauração em uma instância de BD existente |
dds:backup:refreshInstanceFromBackup |
Compatível:
|
- |
Exclusão de uma cópia de segurança |
dds:backup:delete |
Compatível:
|
- |
Criação de um modelo de parâmetro |
dds:param:create |
Compatível:
|
- |
Visualização de modelos de parâmetros |
dds:param:list |
Compatível:
|
- |
Modificação de um modelo de parâmetro |
dds:param:modify |
Compatível:
|
- |
Exclusão de um modelo de parâmetro |
dds:param:delete |
Compatível:
|
- |
Lista do centro de tarefas |
dds:task:list |
Compatível:
|
- |
