更新时间:2024-06-11 GMT+08:00

设置三权分立

操作场景

默认情况下,创建GaussDB(DWS)集群时指定的管理员用户属于数据库的系统管理员,能够创建其他用户和查看数据库的审计日志,即权限不分立,三权分立模式为关闭。

为了保护集群数据的安全,GaussDB(DWS) 支持对集群设置三权分立,使用不同类型的用户分别控制不同权限的模式。

默认的权限模型和开启三权分立后的权限模型,请参见《数据仓库服务数据库开发指南》的“管理数据库安全 > 管理用户及权限 > 三权分立”章节。

对系统的影响

  • 修改安全配置参数并保存生效可能需要重启集群,将导致集群暂时不可用。

前提条件

修改集群安全配置必须同时满足以下两个条件:

  • 集群状态为“可用”、“待重启”或“非均衡”。
  • 任务信息不能处于“创建快照中”“节点扩容”“配置中”“重启中”

操作步骤

  1. 登录GaussDB(DWS) 管理控制台。
  2. 在左侧导航树中,单击“集群 > 专属集群 ”
  3. 在集群列表中,单击指定集群的名称,然后单击“安全设置”

    默认显示“配置状态”“已同步”,表示页面显示的是数据库当前最新结果。

  4. “安全设置”页面,设置三权分立。

    表示开启三权分立模式。开启“三权分立”后,分别设置“安全管理员”“审计管理员”的用户名和密码,系统将会创建这两个用户。使用这两个用户可以连接数据库并执行数据库的相关操作。

    默认为关闭状态。
    表1 安全配置参数说明

    参数名

    参数解释

    样例值

    安全管理员

    用户命名要求如下:

    • 只能由小写字母、数字或下划线组成。
    • 必须以小写字母或下划线开头。
    • 长度为6~64个字符。
    • 用户名不能为GaussDB(DWS) 数据库的关键字。GaussDB(DWS) 数据库的关键字,具体请参见《数据仓库服务数据库开发指南》“SQL参考 > 关键字”章节。

    security_admin

    密码

    密码复杂度要求如下:
    • 密码长度为12~32个字符。
    • 不能与用户名或倒序的用户名相同。
    • 密码至少包含大写字母、小写字母、数字和特殊字符四类中的三类,其中可输入的特殊字符为:(~!?,.:;_(){}[]/<>@#%^&*+|\=-)。
    • 弱密码检查。

    -

    确认密码

    再次输入安全管理员密码。

    -

    审计管理员

    用户命名要求如下:

    • 只能由小写字母、数字或下划线组成。
    • 必须以小写字母或下划线开头。
    • 长度为6~64个字符。
    • 用户名不能为GaussDB(DWS) 数据库的关键字。GaussDB(DWS) 数据库的关键字,具体请参见《数据仓库服务数据库开发指南》“SQL参考 > 关键字”章节。

    audit_admin

    密码

    密码复杂度要求如下:
    • 密码长度为12~32个字符。
    • 不能与用户名或倒序的用户名相同。
    • 密码至少包含大写字母、小写字母、数字和特殊字符四类中的三类,其中可输入的特殊字符为:~!@#%^&*()-_=+|[{}];:,<.>/?。
    • 弱密码检查。

    -

    确认密码

    再次输入审计管理员密码。

    -

  5. 单击“应用”
  6. 在弹出的“保存配置”窗口中,选择是否勾选“立即重启集群”,然后单击“是”

    • 如果勾选“立即重启集群”,系统将保存“安全设置”页面的配置并立即重启集群,集群重启成功后安全设置将立即生效。
    • 如果不勾选“立即重启集群”,系统将只保存“安全设置”页面的配置。稍后,用户需要手动重启集群才能使安全设置生效。

    安全设置完成后,在“安全设置”页面,“配置状态”有如下3种状态:

    • “应用中”:表示系统正在保存配置。
    • “已同步”:表示配置已保存生效。
    • “需重启生效”:表示配置已保存但还未生效。如需生效,需重启集群。