Permissões
Se você precisar atribuir permissões diferentes ao pessoal da sua empresa para acessar seus recursos de TaurusDB, o Identity and Access Management (IAM) é uma boa escolha para o gerenciamento de permissões refinado. O IAM fornece autenticação de identidade, gerenciamento de permissões e controle de acesso, ajudando você a proteger o acesso aos seus recursos da Huawei Cloud.
Com o IAM, você pode criar usuários do IAM e atribuir permissões para controlar seu acesso a recursos específicos. Por exemplo, se você deseja que alguns desenvolvedores de software em sua empresa usem recursos de TaurusDB, mas não deseja que eles excluam recursos de TaurusDB ou realizem outras operações de alto risco, poderá criar usuários do IAM para os desenvolvedores de software e conceder a eles apenas as permissões necessárias para usar os recursos de TaurusDB.
Se sua conta da Huawei Cloud não exigir usuários individuais do IAM para gerenciamento de permissões, você poderá pular esta seção.
O IAM é gratuito. Você paga apenas pelos recursos na sua conta. Para obter mais informações sobre o IAM, consulte Visão geral de serviço de IAM.
Permissões de TaurusDB
Os novos usuários do IAM não têm nenhuma permissão atribuída por padrão. Primeiro você precisa adicioná-los a um ou mais grupos e anexar políticas ou funções a esses grupos. Em seguida, os usuários herdam permissões dos grupos e podem executar operações especificadas em serviços de nuvem com base nas permissões atribuídas a eles.
TaurusDB é um serviço no nível do projeto implementado em regiões físicas específicas. Se você definir Scope como Region-specific projects e selecionar os projetos especificados nas regiões especificadas, os usuários terão permissões apenas para instâncias de TaurusDB nos projetos selecionados. Se você definir Scope como All projects, os usuários terão permissões para instâncias de TaurusDB em todos os projetos específicos da região. Ao acessar instâncias de TaurusDB, os usuários precisam alternar para a região autorizada.
Você pode conceder permissões usando funções e políticas.
- Funções: uma estratégia de autorização de alta granularidade fornecida pelo IAM para atribuir permissões com base nas responsabilidades de trabalho dos usuários. Apenas um número limitado de funções em nível de serviço está disponível para autorização. Os serviços de nuvem dependem uns dos outros. Ao conceder permissões usando funções, você também precisa anexar quaisquer dependências de função existentes. As funções não são ideais para autorização refinada e acesso mínimo de permissão.
- Políticas: uma estratégia de autorização refinada que define as permissões necessárias para realizar operações em recursos específicos de nuvem sob determinadas condições. Esse tipo de autorização é mais flexível e é ideal para ter menos permissão de acesso. Por exemplo, você pode conceder apenas permissões aos usuários para gerenciar recursos de banco de dados de um determinado tipo. A maioria das políticas refinadas contém permissões para APIs específicas, e as permissões são definidas usando ações de API. Para as ações de API suportadas por TaurusDB, consulte Políticas de permissões e ações suportadas.
Tabela 1 lista todas as permissões definidas pelo sistema para TaurusDB.
|
Nome da função/política |
Descrição |
Tipo |
|---|---|---|
|
GaussDB FullAccess |
Permissões completas para TaurusDB |
Política definida pelo sistema |
|
GaussDB ReadOnlyAccess |
Permissões somente leitura para TaurusDB |
Política definida pelo sistema |
Tabela 2 lista operações comuns suportadas por cada permissão definida pelo sistema do TaurusDB.
|
Operação |
GaussDB FullAccess |
GaussDB ReadOnlyAccess |
|---|---|---|
|
Criação de uma instância de TaurusDB |
Suportada |
Não suportada |
|
Exclusão de uma instância de TaurusDB |
Suportada |
Não suportada |
|
Consulta de instâncias de TaurusDB |
Suportada |
Suportada |
|
Operação |
Ação |
Descrição |
|---|---|---|
|
Modificação de parâmetros em um modelo de parâmetro |
gaussdb:param:modify |
- |
|
Alteração das especificações da instância de BD |
gaussdb:instance:modifySpec |
- |
|
Criação de uma instância de BD |
gaussdb:instance:create |
Para selecionar uma VPC, uma sub-rede e um grupo de segurança, configure as seguintes ações: vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get Para criar uma instância criptografada, configure a permissão KMS Administrator para o projeto. Para criar instâncias anuais/mensais, configure as seguintes ações de CBC: bss:renewal:view bss:renewal:update bss:balance:view bss:order:view bss:order:update bss:order:pay Para configurar o TDE durante a criação da instância, configure a seguinte ação: iam:agencies:createServiceLinkedAgencyV5 |
|
Criação de um backup manual |
gaussdb:backup:create |
- |
|
Consulta de backups |
gaussdb:backup:list |
- |
|
Consulta de logs de erros |
gaussdb:log:list |
- |
|
Reinicialização de uma instância de BD |
gaussdb:instance:restart |
- |
|
Consulta de instâncias de BD |
gaussdb:instance:list |
- |
|
Criação de um modelo de parâmetro |
gaussdb:param:create |
- |
|
Exclusão de um modelo de parâmetro |
gaussdb:param:delete |
- |
|
Modificação de uma política de backup |
gaussdb:instance:modifyBackupPolicy |
- |
|
Exibição de modelos de parâmetros |
gaussdb:param:list |
- |
|
Exclusão de uma instância de BD |
gaussdb:instance:delete |
Para cancelar a assinatura de uma instância anual/mensal, configure a seguinte ação: bss:unsubscribe:update |
|
Exclusão de um backup manual |
gaussdb:backup:delete |
- |
|
Consulta de tags de projeto |
gaussdb:tag:list |
- |
|
Aplicação de um modelo de parâmetro |
gaussdb:param:apply |
- |
|
Adição ou exclusão de tags de projeto em lotes |
gaussdb:instance:dealTag |
- |
|
Alteração das cotas |
gaussdb:quota:modify |
- |
|
Atualização de uma versão de instância de banco de dados |
gaussdb:instance:upgrade |
- |
|
Promoção de uma réplica de leitura para o nó primário |
gaussdb:instance:switchover |
- |
|
Alteração de uma porta do banco de dados |
gaussdb:instance:modifyPort |
- |
|
Alteração de um grupo de segurança |
gaussdb:instance:modifySecurityGroup |
- |
|
Alteração do endereço IP privado |
gaussdb:instance:modifyIp |
Para selecionar um endereço IP, configure as seguintes ações: vpc:vpcs:list vpc:vpcs:get |
|
Ativação ou desativação de SSL |
gaussdb:instance:modifySSL |
- |
|
Alteração de um nome de instância |
gaussdb:instance:rename |
- |
|
Adição de réplicas de leitura |
gaussdb:instance:addNodes |
- |
|
Exclusão de réplicas de leitura |
gaussdb:instance:deleteNodes |
- |
|
Dimensionamento do espaço de armazenamento |
gaussdb:instance:modifyStorageSize |
- |
|
Alteração de uma senha de instância de BD |
gaussdb:instance:modifyPassword |
- |
|
Vinculação de um EIP a uma instância de BD |
gaussdb:instance:bindPublicIp |
Para exibir EIPs no console, configure: vpc:publicIps:get vpc:publicIps:list |
|
Desvinculação de um EIP de uma instância de BD |
gaussdb:instance:unbindPublicIp |
- |
|
Modificação de uma política de monitoramento |
gaussdb:instance:modifyMonitorPolicy |
- |
|
Alteração de uma prioridade de failover |
gaussdb:instance:modifySwitchoverPriority |
- |
|
Alteração da janela de manutenção |
gaussdb:instance:modifyMaintenanceWindow |
- |
|
Isolamento de nós |
gaussdb:instance:isolateNodes |
- |
|
Ativação ou desativação do SQL Explorer |
gaussdb:instance:modifyTraceSQLPolicy |
- |
|
Consulta de instâncias de HTAP |
gaussdb:htapInstance:list |
- |
|
Criação de uma instância de HTAP |
gaussdb:htapInstance:create |
- |
|
Modificação de uma instância de HTAP do GaussDB. |
gaussdb:htapInstance:modify |
- |
|
Exclusão de uma instância de HTAP |
gaussdb:htapInstance:delete |
- |
|
Alteração de um nome de instância de HTAP |
gaussdb:htapInstance:rename |
- |
|
Reinicialização de uma instância de HTAP |
gaussdb:htapInstance:restart |
- |
|
Atualização de uma versão de instância de HTAP |
gaussdb:htapInstance:upgrade |
- |
|
Promoção de uma réplica de leitura de uma instância HTAP para primária |
gaussdb:htapInstance:switchover |
- |
|
Alteração das especificações de uma instância HTAP |
gaussdb:htapInstance:modifySpec |
- |
|
Ampliação do armazenamento de uma instância de HTAP |
gaussdb:htapInstance:modifyStorageSize |
- |
|
Vinculação de um EIP para uma instância de HTAP |
gaussdb:htapInstance:bindPublicIp |
- |
|
Desvinculação de um EIP de uma instância HTAP |
gaussdb:htapInstance:unbindPublicIp |
- |
|
Alteração da porta de uma instância HTAP |
gaussdb:htapInstance:modifyPort |
- |
|
Alteração da senha da instância de HTAP |
gaussdb:htapInstance:modifyPassword |
- |
|
Criação de uma tarefa de sincronização de dados HTAP |
gaussdb:htapInstance:createDataSync |
- |
|
Modificação de uma tarefa de sincronização de dados de HTAP |
gaussdb:htapInstance:modifyDataSync |
- |
|
Exclusão de uma tarefa de sincronização de dados HTAP |
gaussdb:htapInstance:deleteDataSync |
- |
|
Criação de uma instância de proxy de banco de dados |
gaussdb:proxy:create |
- |
|
Alteração do endereço IP de uma instância de proxy |
gaussdb:proxy:modifyIp |
- |
|
Modificação dos pesos de leitura de uma instância de proxy |
gaussdb:proxy:modifyWeight |
- |
|
Alteração da porta do proxy do banco de dados |
gaussdb:proxy:modifyPort |
- |
|
Modificação do controle de acesso ao proxy do banco de dados |
gaussdb:proxy:modifyAccess |
- |
|
Exclusão de uma instância de proxy |
gaussdb:proxy:delete |
- |
|
Consulta de instâncias de proxy |
gaussdb:proxy:list |
- |
|
Atualização de uma versão de instância de proxy |
gaussdb:proxy:upgrade |
- |
|
Alteração do nome de uma instância de proxy |
gaussdb:proxy:rename |
- |
|
Adição de nós de proxy de banco de dados |
gaussdb:proxy:addNodes |
- |
|
Exclusão de nós de proxy de banco de dados |
gaussdb:proxy:deleteNodes |
- |
|
Alteração das especificações de uma instância de proxy |
gaussdb:proxy:modifySpec |
- |
|
Solicitação de um nome de domínio privado para uma instância de proxy de banco de dados |
gaussdb:proxy:createDns |
- |
|
Alteração do nome de domínio da instância de proxy |
gaussdb:proxy:modifyDns |
- |
|
Exclusão do nome de domínio de uma instância de proxy |
gaussdb:proxy:deleteDns |
- |
|
Alteração da política de roteamento de uma instância de proxy |
gaussdb:proxy:modifyRouteMode |
- |
|
Ativação ou desativação de SSL para uma instância de proxy |
gaussdb:proxy:modifySSL |
- |
|
Criação de usuários de banco de dados |
gaussdb:user:create |
- |
|
Exclusão de usuários do banco de dados |
gaussdb:user:delete |
- |
|
Alteração da senha de um usuário do banco de dados |
gaussdb:user:modify |
- |
|
Consulta de usuários do banco de dados |
gaussdb:user:list |
- |
|
Autorização de permissões de banco de dados para usuários |
gaussdb:user:grantPrivilege |
- |
|
Revogação de permissões de banco de dados de usuários |
gaussdb:user:revokePrivilege |
- |
|
Criação de bancos de dados |
gaussdb:database:create |
- |
|
Exclusão de bancos de dados |
gaussdb:database:delete |
- |
|
Consulta de bancos de dados |
gaussdb:database:list |
- |
|
Consulta de tags predefinidas |
- |
Para consultar tags predefinidas, configure a seguinte ação: tms:resourceTags:list |
|
Consulta de grupos de logs configurados |
- |
Para consultar grupos de logs configurados, configure a seguinte ação: lts:groups:get |
|
Consulta de fluxos de logs configurados |
- |
Para consultar fluxos de logs configurados, configure a seguinte ação: lts:topics:get |
|
Modificação de políticas de dimensionamento automático |
gaussdb:autoscaling:createPolicy |
Para modificar as políticas de dimensionamento automático, configure a seguinte ação: iam:agencies:listAgencies |
