Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ GaussDB(DWS)/ Visão geral de serviço/ Gerenciamento de permissões do GaussDB(DWS)
Atualizado em 2024-01-05 GMT+08:00
Ver PDF
Compartilhar

Gerenciamento de permissões do GaussDB(DWS)

Se você precisar atribuir permissões diferentes a funcionários em sua empresa para acessar seus recursos do GaussDB(DWS) na HUAWEI CLOUD, o IAM é uma boa opção para o gerenciamento de permissões refinado. O IAM fornece autenticação de identidade, gerenciamento de permissões e controle de acesso, ajudando você a proteger o acesso aos seus recursos na HUAWEI CLOUD.

Com o IAM, você pode usar sua conta da HUAWEI CLOUD para criar usuários do IAM para seus funcionários e atribuir permissões aos usuários para controlar seu acesso a tipos de recursos específicos. Por exemplo, alguns desenvolvedores de software em sua empresa precisam usar recursos do GaussDB(DWS), mas não devem excluí-los ou executar operações de alto risco. Para esse fim, você pode criar usuários do IAM para os desenvolvedores de software e conceder a eles apenas as permissões necessárias para usar os recursos do GaussDB(DWS).

Se a sua conta da HUAWEI CLOUD não precisar de usuários individuais do IAM para o gerenciamento de permissões, você pode ignorar esta seção.

O IAM pode ser usado gratuitamente. Você paga apenas pelos recursos na sua conta. Para obter mais informações sobre o IAM, consulte Visão geral de serviço.

Políticas de sistema suportadas

Por padrão, os novos usuários do IAM não têm permissões atribuídas. Você precisa adicionar um usuário a um ou mais grupos e anexar políticas de permissões ou funções a esses grupos. Os usuários herdam permissões dos grupos aos quais são adicionados e podem executar operações especificadas em serviços de nuvem.

O GaussDB(DWS) é um serviço de nível de projeto implementado e acessado em regiões físicas específicas. Para atribuir permissões do GaussDB(DWS) a um grupo de usuários, especifique o escopo como projetos específicos da região e selecione projetos para que as permissões entrem em vigor. Se All projects estiver selecionado, as permissões entrarão em vigor para o grupo de usuários em todos os projetos específicos da região. Ao acessar o GaussDB(DWS), os usuários precisam mudar para uma região onde foram autorizados a usar o GaussDB(DWS).

  • Função: inicialmente, o IAM fornece um mecanismo de autorização grosseiro para definir permissões com base nas responsabilidades de trabalho dos usuários. Esse mecanismo fornece apenas um número limitado de funções de nível de serviço para autorização. Ao usar funções para conceder permissões, você também deve atribuir outras funções das quais as permissões dependem para entrar em vigor. No entanto, as funções não são uma escolha adequada para autorização refinada e controle de acesso seguro.
  • Políticas: um tipo de mecanismo de autorização refinado que define as permissões necessárias para realizar operações em recursos em nuvem específicos sob determinadas condições. Esse mecanismo permite uma autorização baseada em políticas mais flexível, atendendo aos requisitos de controle de acesso seguro. Por exemplo, você pode conceder aos usuários do GaussDB(DWS) apenas as permissões para gerenciar um certo tipo de recursos do GaussDB(DWS).

    A maioria das políticas define permissões com base em APIs. Para as ações de API suportadas pelo GaussDB(DWS), consulte Políticas de permissões e ações suportadas.

    Para obter detalhes sobre como criar uma política de permissões refinada, consulte Criação de uma política personalizada do GaussDB(DWS).

Tabela 1 lista todas as funções e políticas definidas pelo sistema suportadas pelo GaussDB(DWS).
Tabela 1 Permissões do sistema do GaussDB(DWS)

Nome da função/política

Descrição

Categoria

Dependências

DWS ReadOnlyAccess

Permissões somente leitura para o GaussDB(DWS). Os usuários com essas permissões só podem visualizar os dados do GaussDB(DWS).

Política definida pelo sistema

Nenhuma

DWS FullAccess

Permissões de administrador de banco de dados para o GaussDB(DWS). Os usuários com essas permissões podem executar todas as operações no GaussDB(DWS).

Política definida pelo sistema

Nenhuma

DWS Administrator

Permissões de administrador de banco de dados para o GaussDB(DWS). Os usuários com essas permissões podem executar operações em todos os recursos do GaussDB(DWS).

  • Os usuários com permissões da política VPC Administrator podem criar VPCs e sub-redes.
  • Os usuários com permissões da política Cloud Eye Administrator podem visualizar informações de monitoramento de clusters de armazém de dados.

Função definida pelo sistema

Depende das políticas Tenant Guest e Server Administrator, que devem ser atribuídas no mesmo projeto como a política DWS Administrator.

DWS Database Access

Permissão de acesso ao banco de dados GaussDB(DWS). Os usuários com essa permissão podem gerar as credenciais temporárias do usuário do banco de dados com base nos usuários do IAM para se conectar ao banco de dados no cluster do armazém de dados.

Função definida pelo sistema

Depende da política DWS Administrator, que deve ser atribuída no mesmo projeto como a política de DWS Database Access.

Tabela 2 lista as operações comuns suportadas por cada política ou função definida pelo sistema do GaussDB(DWS). Escolha políticas ou funções apropriadas, conforme necessário.

  • Se você usar o EIP pela primeira vez para um projeto em uma região, o sistema solicitará que você crie a agência DWSAccessVPC para autorizar o GaussDB(DWS) a acessar a VPC. Depois que a autorização for bem-sucedida, o GaussDB(DWS) pode alternar para uma VM saudável quando a VM vinculada ao EIP estiver com defeito.
  • Além das permissões de política, talvez seja necessário conceder permissões de operação diferentes em recursos a usuários de diferentes funções. Para obter detalhes sobre operações, como criar snapshots e reiniciar clusters, consulte Sintaxe de políticas de permissões refinadas.
  • Por padrão, somente contas ou usuários da HUAWEI CLOUD com permissões Security Administrator podem consultar e criar agências. Por padrão, os usuários do IAM nessas contas não podem consultar ou criar agências. Quando os usuários usam o EIP, o sistema torna a função de vinculação indisponível. Entre em contato com um usuário com as permissões de DWS Administrator para autorizar a agência na página atual.
Tabela 2 Operações comuns suportadas por cada política definida pelo sistema ou função do GaussDB(DWS)

Operação

DWS FullAccess

DWS ReadOnlyAccess

DWS Administrator

DWS Database Access

Criação/restauração de clusters

x

x

Obtenção da lista de clusters

x

Obtenção dos detalhes de um cluster

x

Configuração da política de snapshot automático

x

x

Configuração de parâmetros/grupos de parâmetros de segurança

x

x

Reinicialização de clusters

x

x

Expansão de clusters

x

x

Redefinição de senhas

x

x

Exclusão de clusters

x

x

Configuração de janelas de manutenção

x

x

Vinculação de EIPs

x

x

x

Desvinculação de EIPs

x

x

x

Criação de nomes de domínio DNS

x

x

Liberação de nomes de domínio DNS

x

x

Modificação de nomes de domínio DNS

x

x

Criação de conexões MRS

x

x

Atualização de conexões MRS

x

x

Exclusão de conexões MRS

x

x

Adição/exclusão de tags

x

x

Edição de tags

x

x

Criação de snapshots

x

x

Obtenção da lista de snapshots

Exclusão de snapshots

x

x

Cópia de snapshots

x

x

Links úteis