更新时间:2024-10-08 GMT+08:00
开启GaussDB(DWS)数据库用户三权分立
操作场景
默认情况下,创建GaussDB(DWS)集群时指定的管理员用户属于数据库的系统管理员,能够创建其他用户和查看数据库的审计日志,即权限不分立,三权分立模式为关闭。
为了保护集群数据的安全,GaussDB(DWS)支持对集群设置三权分立,使用不同类型的用户分别控制不同权限的模式。
默认的权限模型和开启三权分立后的权限模型,请参见《数据仓库服务数据库开发指南》的三权分立章节。
对系统的影响
- 修改安全配置参数并保存生效可能需要重启集群,将导致集群暂时不可用。
- DWS 3.0集群创建时默认创建逻辑集群,开启三权分立后,除系统管理员外的其他账户不具有对逻辑集群进行创建、修改、删除、分配的权限,访问需要被赋权。
前提条件
修改集群安全配置必须同时满足以下两个条件:
- 集群状态为“可用”或“非均衡”。
- 集群任务信息不能处于“节点扩容”、“经典变更规格”、“配置中”、“升级中”、“重分布中”和“重启中”等状态。
操作步骤
- 登录GaussDB(DWS)管理控制台。
- 在左侧导航树中,单击“集群 > 专属集群”。
- 在集群列表中,单击指定集群的名称,然后左导航栏单击“安全设置”。
默认显示“配置状态”为“已同步”,表示页面显示的是数据库当前最新结果。
- 在“安全设置”页面,设置三权分立。
开启“三权分立”后,分别设置“安全管理员”和“审计管理员”的用户名和密码,系统将会创建这两个用户。使用这两个用户可以连接数据库并执行数据库的相关操作。默认为关闭状态。
表1 安全配置参数说明 参数名
参数解释
样例值
安全管理员
用户命名要求如下:
- 只能由小写字母、数字或下划线组成。
- 必须以小写字母或下划线开头。
- 长度为6~64个字符。
- 用户名不能为GaussDB(DWS)数据库的关键字。GaussDB(DWS)数据库的关键字,具体请参见《数据仓库服务数据库开发指南》中关键字章节。
security_admin
密码
密码复杂度要求如下:- 密码长度为12~32个字符。
- 不能与用户名或倒序的用户名相同。
- 密码至少包含大写字母、小写字母、数字和特殊字符四类中的三类,其中可输入的特殊字符为:(~!?,.:;_(){}[]/<>@#%^&*+|\\=-)。
- 对用户设置的密码进行弱密码检查。
-
确认密码
再次输入安全管理员密码。
-
审计管理员
用户命名要求如下:
- 只能由小写字母、数字或下划线组成。
- 必须以小写字母或下划线开头。
- 长度为6~64个字符。
- 用户名不能为GaussDB(DWS)数据库的关键字。GaussDB(DWS)数据库的关键字,具体请参见《数据仓库服务数据库开发指南》中关键字章节。
audit_admin
密码
密码复杂度要求如下:- 密码长度为12~32个字符。
- 不能与用户名或倒序的用户名相同。
- 密码至少包含大写字母、小写字母、数字和特殊字符四类中的三类,其中可输入的特殊字符为:~!@#%^&*()-_=+|[{}];:,<.>/?。
- 弱密码检查。
-
确认密码
再次输入审计管理员密码。
-
- 单击“应用”。
- 在弹出的“保存配置”窗口中,选择是否勾选“立即重启集群”,然后单击“是”。
- 如果勾选“立即重启集群”,系统将保存“安全设置”页面的配置并立即重启集群,集群重启成功后安全设置将立即生效。
- 如果不勾选“立即重启集群”,系统将只保存“安全设置”页面的配置。稍后,用户需要手动重启集群才能使安全设置生效。
安全设置完成后,在“安全设置”页面,“配置状态”有如下3种状态:
- “应用中”:表示系统正在保存配置。
- “已同步”:表示配置已保存生效。
- “需重启生效”:表示配置已保存但还未生效。如需生效,需重启集群。