Gerenciamento de permissões
Se sua conta não precisar de usuários individuais do IAM para gerenciamento de permissões, você poderá pular esta seção.
Se você precisar atribuir permissões diferentes aos funcionários da sua empresa para acessar seus recursos do GaussDB(for MySQL), o IAM é uma boa escolha para o gerenciamento de permissões refinadas. O IAM fornece autenticação de identidade, gerenciamento de permissões e controle de acesso, ajudando você a proteger o acesso aos seus recursos.
Com o IAM, você pode usar sua conta para criar usuários do IAM para seus funcionários e atribuir permissões específicas a usuários diferentes para controlar seu acesso a tipos de recursos específicos. Por exemplo, você pode conceder permissões aos desenvolvedores de software da sua empresa para usar os recursos do GaussDB(for MySQL), mas não as permissões necessárias para excluí-los ou realizar operações de alto risco.
O IAM é um serviço gratuito. Você paga apenas pelos recursos na sua conta. Para obter mais informações sobre o IAM, consulte Visão geral de serviço do IAM.
Permissões do GaussDB(for MySQL)
Novos usuários do IAM não têm permissões atribuídas por padrão. Primeiro você precisa adicioná-los a um ou mais grupos e anexar políticas ou funções a esses grupos. Em seguida, os usuários herdam permissões dos grupos e podem executar operações especificadas em serviços de nuvem com base nas permissões atribuídas a eles.
GaussDB(for MySQL) é um serviço no nível do projeto implementado em regiões físicas específicas. Para atribuir permissões do GaussDB(for MySQL) a um grupo de usuários, especifique o escopo como projetos específicos da região e selecione os projetos para que as permissões tenham efeito. Se All projects for selecionado, as permissões serão concedidas ao grupo de usuários em todos os projetos específicos da região. Ao acessar o GaussDB(for MySQL), os usuários precisam mudar para uma região onde foram autorizados a usar este serviço.
Políticas: uma estratégia de autorização refinada que define as permissões necessárias para realizar operações em recursos específicos da nuvem sob determinadas condições. Elas permitem um gerenciamento de permissões mais flexível e atendem aos requisitos de controle de acesso seguro. Por exemplo, você pode conceder aos usuários de GaussDB(for MySQL) apenas as permissões necessárias para gerenciar um determinado tipo de recursos de banco de dados.
Tabela 1 lista todas as funções e políticas definidas pelo sistema suportadas pelo GaussDB(for MySQL).
|
Política |
Descrição |
Tipo |
|---|---|---|
|
GaussDB FullAccess |
Permissões completas para GaussDB(for MySQL) |
Política definida pelo sistema |
|
GaussDB ReadOnlyAccess |
Permissões somente leitura para GaussDB(for MySQL) |
Política definida pelo sistema |
Tabela 2 lista as operações comuns suportadas por cada política ou função definida pelo sistema do GaussDB(for MySQL). Escolha as políticas de sistema apropriadas baseadas nesta tabela.
|
Operação |
FullAccess do GaussDB |
ReadOnlyAccess do GaussDB |
|---|---|---|
|
Criação de uma instância |
Suportada |
Não suportada |
|
Exclusão de uma instância |
Suportada |
Não suportada |
|
Consulta de uma lista de instâncias |
Suportada |
Suportada |
|
Operação |
Ação |
Descrição |
|---|---|---|
|
Modificação de parâmetros em um modelo de parâmetro |
gaussdb:param:modify |
- |
|
Alteração das especificações da instância de BD |
gaussdb:instance:modifySpec |
- |
|
Criação de uma instância de BD |
gaussdb:instance:create |
Para selecionar uma VPC, uma sub-rede e um grupo de segurança, configure as seguintes ações: vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get Para criar uma instância criptografada, configure a permissão KMS Administrator para o projeto. Para criar instâncias anuais/mensais, configure as seguintes ações de CBC: bss:renewal:view bss:renewal:update bss:balance:view bss:order:view bss:order:update bss:order:pay Para configurar TDE durante a criação da instância, configure a seguinte ação: iam:agencies:createServiceLinkedAgencyV5 |
|
Criação de um backup manual |
gaussdb:backup:create |
- |
|
Consulta de backups |
gaussdb:backup:list |
- |
|
Consulta de logs de erros |
gaussdb:log:list |
- |
|
Reinicialização de uma instância de BD |
gaussdb:instance:restart |
- |
|
Consulta de instâncias de BD |
gaussdb:instance:list |
- |
|
Criação de um modelo de parâmetro |
gaussdb:param:create |
- |
|
Exclusão de um modelo de parâmetro |
gaussdb:param:delete |
- |
|
Modificação de uma política de backup |
gaussdb:instance:modifyBackupPolicy |
- |
|
Exibição de modelos de parâmetros |
gaussdb:param:list |
- |
|
Exclusão de uma instância de BD |
gaussdb:instance:delete |
Para cancelar a assinatura de uma instância anual/mensal, configure a seguinte ação: bss:unsubscribe:update |
|
Exclusão de um backup manual |
gaussdb:backup:delete |
- |
|
Consulta de tags de projeto |
gaussdb:tag:list |
- |
|
Aplicação de um modelo de parâmetro |
gaussdb:param:apply |
- |
|
Adição ou exclusão de tags de projeto em lotes |
gaussdb:instance:dealTag |
- |
|
Alteração das cotas |
gaussdb:quota:modify |
- |
|
Atualização de uma versão de instância de banco de dados |
gaussdb:instance:upgrade |
- |
|
Promoção de uma réplica de leitura para o nó primário |
gaussdb:instance:switchover |
- |
|
Alteração de uma porta do banco de dados |
gaussdb:instance:modifyPort |
- |
|
Alteração de um grupo de segurança |
gaussdb:instance:modifySecurityGroup |
- |
|
Alteração do endereço IP privado |
gaussdb:instance:modifyIp |
Para selecionar um endereço IP, configure as seguintes ações: vpc:vpcs:list vpc:vpcs:get |
|
Ativação ou desativação de SSL |
gaussdb:instance:modifySSL |
- |
|
Alteração de um nome de instância |
gaussdb:instance:rename |
- |
|
Adição de réplicas de leitura |
gaussdb:instance:addNodes |
- |
|
Exclusão de réplicas de leitura |
gaussdb:instance:deleteNodes |
- |
|
Dimensionamento do espaço de armazenamento |
gaussdb:instance:modifyStorageSize |
- |
|
Alteração da senha de uma instância de banco de dados |
gaussdb:instance:modifyPassword |
- |
|
Vinculação de um EIP a uma instância de BD |
gaussdb:instance:bindPublicIp |
Para exibir EIPs no console, configure: vpc:publicIps:get vpc:publicIps:list |
|
Desvinculação de um EIP de uma instância de BD |
gaussdb:instance:unbindPublicIp |
- |
|
Modificação de uma política de monitoramento |
gaussdb:instance:modifyMonitorPolicy |
- |
|
Alteração de uma prioridade de failover |
gaussdb:instance:modifySwitchoverPriority |
- |
|
Alteração da janela de manutenção |
gaussdb:instance:modifyMaintenanceWindow |
- |
|
Isolamento de nós |
gaussdb:instance:isolateNodes |
- |
|
Ativação ou desativação do SQL Explorer |
gaussdb:instance:modifyTraceSQLPolicy |
- |
|
Consulta de instâncias HTAP |
gaussdb:htapInstance:list |
- |
|
Criação de uma instância HTAP |
gaussdb:htapInstance:create |
- |
|
Modificação de uma instância HTAP do GaussDB. |
gaussdb:htapInstance:modify |
- |
|
Exclusão de uma instância HTAP |
gaussdb:htapInstance:delete |
- |
|
Alteração de um nome de instância HTAP |
gaussdb:htapInstance:rename |
- |
|
Reinicialização de uma instância HTAP |
gaussdb:htapInstance:restart |
- |
|
Atualização de uma versão de instância HTAP |
gaussdb:htapInstance:upgrade |
- |
|
Promoção de uma réplica de leitura de uma instância HTAP para primária |
gaussdb:htapInstance:switchover |
- |
|
Alteração das especificações de uma instância HTAP |
gaussdb:htapInstance:modifySpec |
- |
|
Ampliação do armazenamento de uma instância HTAP |
gaussdb:htapInstance:modifyStorageSize |
- |
|
Vinculação de um EIP para uma instância HTAP |
gaussdb:htapInstance:bindPublicIp |
- |
|
Desvinculação de um EIP de uma instância HTAP |
gaussdb:htapInstance:unbindPublicIp |
- |
|
Alteração da porta de uma instância HTAP |
gaussdb:htapInstance:modifyPort |
- |
|
Alteração da senha da instância HTAP |
gaussdb:htapInstance:modifyPassword |
- |
|
Criação de uma tarefa de sincronização de dados HTAP |
gaussdb:htapInstance:createDataSync |
- |
|
Modificação de uma tarefa de sincronização de dados HTAP |
gaussdb:htapInstance:modifyDataSync |
- |
|
Exclusão de uma tarefa de sincronização de dados HTAP |
gaussdb:htapInstance:deleteDataSync |
- |
|
Criação de uma instância de proxy de banco de dados |
gaussdb:proxy:create |
- |
|
Alteração do endereço de divisão de leitura/gravação |
gaussdb:proxy:modifyIp |
- |
|
Modificação dos pesos de leitura de uma instância de proxy |
gaussdb:proxy:modifyWeight |
- |
|
Alteração da porta do proxy do banco de dados |
gaussdb:proxy:modifyPort |
- |
|
Modificação do controle de acesso ao proxy do banco de dados |
gaussdb:proxy:modifyAccess |
- |
|
Exclusão de uma instância de proxy |
gaussdb:proxy:delete |
- |
|
Consulta de instâncias de proxy |
gaussdb:proxy:list |
- |
|
Atualização de uma versão de instância de proxy |
gaussdb:proxy:upgrade |
- |
|
Alteração do nome de uma instância de proxy |
gaussdb:proxy:rename |
- |
|
Adição de nós de proxy de banco de dados |
gaussdb:proxy:addNodes |
- |
|
Exclusão de nós de proxy do banco de dados |
gaussdb:proxy:deleteNodes |
- |
|
Alteração das especificações de uma instância de proxy |
gaussdb:proxy:modifySpec |
- |
|
Solicitação de um nome de domínio privado para uma instância de proxy de banco de dados |
gaussdb:proxy:createDns |
- |
|
Alteração do nome de domínio da instância de proxy |
gaussdb:proxy:modifyDns |
- |
|
Exclusão do nome de domínio de uma instância de proxy |
gaussdb:proxy:deleteDns |
- |
|
Alteração da política de roteamento de uma instância de proxy |
gaussdb:proxy:modifyRouteMode |
- |
|
Ativação ou desativação de SSL para uma instância de proxy |
gaussdb:proxy:modifySSL |
- |
|
Criação de usuários de banco de dados |
gaussdb:user:create |
- |
|
Exclusão de usuários do banco de dados |
gaussdb:user:delete |
- |
|
Alteração da senha de um usuário do banco de dados |
gaussdb:user:modify |
- |
|
Consulta de usuários do banco de dados |
gaussdb:user:list |
- |
|
Autorização de permissões de banco de dados para usuários |
gaussdb:user:grantPrivilege |
- |
|
Revogação de permissões de banco de dados de usuários |
gaussdb:user:revokePrivilege |
- |
|
Criação de bancos de dados |
gaussdb:database:create |
- |
|
Exclusão de bancos de dados |
gaussdb:database:delete |
- |
|
Consulta de bancos de dados |
gaussdb:database:list |
- |
|
Consulta de tags predefinidas |
- |
Para consultar tags predefinidas, configure a seguinte ação: tms:resourceTags:list |
|
Consulta de grupos de logs configurados |
- |
Para consultar grupos de logs configurados, configure a seguinte ação: lts:groups:get |
|
Consulta de fluxos de logs configurados |
- |
Para consultar fluxos de logs configurados, configure a seguinte ação: lts:topics:get |
|
Modificação de políticas de dimensionamento automático |
gaussdb:autoscaling:createPolicy |
Para modificar as políticas de dimensionamento automático, configure a seguinte ação: iam:agencies:listAgencies |
