权限管理
如果您需要对华为云上购买云服务平台上创建的RDS资源,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。
通过IAM,您可以在华为账号中给员工创建IAM用户,并授权控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员,您希望开发人员拥有RDS的使用权限,但是不希望他们拥有删除RDS等高危操作的权限,那么您可以使用IAM为开发人员创建用户,通过授予仅能使用RDS,但是不允许删除RDS的权限,控制他们对RDS资源的使用范围。
如果华为账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用RDS服务的其它功能。
IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。关于IAM的详细介绍,请参见IAM产品介绍。
RDS权限
默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
RDS部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域对应的项目中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问RDS时,需要先切换至授权区域。
- 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
- 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对RDS服务,管理员能够控制IAM用户仅能对某一类数据库资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,RDS支持的API授权项请参见策略及授权项说明。
如表1所示,包括了RDS的所有系统权限。
|
策略名称/系统角色 |
描述 |
类别 |
依赖关系 |
|---|---|---|---|
|
RDS FullAccess |
关系型数据库服务所有权限。 |
系统策略 |
购买包周期实例需要配置授权项: bss:order:update bss:order:pay
如果要使用存储空间自动扩容功能,IAM子账号需要添加如下授权项:
创建RAM共享KMS密钥的包周期实例,依赖IAM权限点:
其中RDS FullAccess已包含iam:agencies:listAgencies、iam:roles:listRoles、iam:agencies:pass权限。 由于RDS是Region级服务,而IAM是Global级服务,将RDS FullAccess授权给项目时,需要再授权BSS ServiceAgencyReadPolicy(全局级服务);如果将RDS FullAccess授权给全部项目,可正常使用IAM权限。 BSS ServiceAgencyCreatePolicy包含其他操作权限:iam:agencies:createAgency、iam:permissions:grantRoleToAgency。 |
|
RDS ReadOnlyAccess |
关系型数据库服务资源只读权限。 |
系统策略 |
无。 |
|
RDS ManageAccess |
关系型数据库服务除删除操作外的DBA权限。 |
系统策略 |
无。 |
|
RDS Administrator |
关系型数据库服务管理员。 |
系统角色 |
依赖Tenant Guest和Server Administrator角色,在同项目中勾选依赖的角色。 |
表2列出了RDS常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。
|
操作 |
RDS FullAccess |
RDS ReadOnlyAccess |
RDS ManageAccess |
RDS Administrator |
|---|---|---|---|---|
|
创建RDS实例 |
√ |
x |
√ |
√ |
|
删除RDS实例 |
√ |
x |
x |
√ |
|
查询RDS实例列表 |
√ |
√ |
√ |
√ |
|
操作名称 |
授权项 |
备注 |
|---|---|---|
|
创建数据库实例 |
rds:instance:create rds:param:list |
界面选择VPC、子网、安全组需要配置: vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:securityGroupRules:get 创建加密实例需要在项目上配置KMS Administrator权限。 购买包周期实例需要配置: bss:order:update bss:order:pay |
|
变更数据库实例的规格 |
rds:instance:modifySpec |
无。 |
|
扩容数据库实例的磁盘空间 |
rds:instance:extendSpace |
无。 |
|
单机转主备实例 |
rds:instance:singleToHa |
若原单实例为加密实例,需要在项目上配置KMS Administrator权限。 |
|
重启数据库实例 |
rds:instance:restart |
无。 |
|
删除数据库实例 |
rds:instance:delete |
无。 |
|
查询数据库实例列表 |
rds:instance:list |
无。 |
|
实例详情 |
rds:instance:list |
实例详情界面展示VPC、子网、安全组,需要对应配置vpc:*:get和vpc:*:list。 |
|
修改数据库实例密码 |
rds:password:update |
无。 |
|
修改端口 |
rds:instance:modifyPort |
无。 |
|
修改内网IP |
rds:instance:modifyIp |
界面查询剩余ip列表需要: vpc:subnets:get vpc:ports:get |
|
修改实例名称 |
rds:instance:modify |
无。 |
|
修改运维时间窗 |
rds:instance:modify |
无。 |
|
手动主备倒换 |
rds:instance:switchover |
无。 |
|
修改同步模式 |
rds:instance:modifySynchronizeModel |
无。 |
|
切换策略 |
rds:instance:modifyStrategy |
无。 |
|
修改实例安全组 |
rds:instance:modifySecurityGroup |
无。 |
|
绑定/解绑公网IP |
rds:instance:modifyPublicAccess |
界面列出公网ip需要: vpc:publicIps:get vpc:publicIps:list |
|
设置回收站策略 |
rds:instance:setRecycleBin |
无。 |
|
查询回收站 |
rds:instance:list |
无。 |
|
开启、关闭SSL |
rds:instance:modifySSL |
无。 |
|
开启、关闭事件定时器 |
rds:instance:modifyEvent |
无。 |
|
读写分离操作 |
rds:instance:modifyProxy |
无。 |
|
申请内网域名 |
rds:instance:createDns |
无。 |
|
备机可用区迁移 |
rds:instance:create |
备机迁移涉及租户子网下的IP操作,若为加密实例,需要在项目上配置KMS Administrator权限。 |
|
表级时间点恢复 |
rds:instance:tableRestore |
无。 |
|
透明数据加密(Transparent Data Encryption,TDE)权限 |
rds:instance:tde |
仅用于RDS for SQL Server数据库实例。 |
|
修改主机权限 |
rds:instance:modifyHost |
无。 |
|
查询对应账号下的主机 |
rds:instance:list |
无。 |
|
获取参数模板列表 |
rds:param:list |
无。 |
|
创建参数模板 |
rds:param:create |
无。 |
|
修改参数模板参数 |
rds:param:modify |
无。 |
|
应用参数模板 |
rds:param:apply |
无。 |
|
修改指定实例的参数 |
rds:param:modify |
无。 |
|
获取指定实例的参数模板 |
rds:param:list |
无。 |
|
获取指定参数模板的参数 |
rds:param:list |
无。 |
|
删除参数模板 |
rds:param:delete |
无。 |
|
重置参数模板 |
rds:param:reset |
无。 |
|
对比参数模板 |
rds:param:list |
无。 |
|
保存参数模板 |
rds:param:save |
无。 |
|
查询参数模板类型 |
rds:param:list |
无。 |
|
设置自动备份策略 |
rds:instance:modifyBackupPolicy |
无。 |
|
查询自动备份策略 |
rds:instance:list |
无。 |
|
创建手动备份 |
rds:backup:create |
无。 |
|
获取备份列表 |
rds:backup:list |
无。 |
|
获取备份下载链接 |
rds:backup:download |
无。 |
|
删除手动备份 |
rds:backup:delete |
无。 |
|
复制备份 |
rds:backup:create |
无。 |
|
查询可恢复时间段 |
rds:instance:list |
无。 |
|
恢复到新实例 |
rds:instance:create |
界面选择VPC、子网、安全组需要配置: vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:securityGroupRules:get |
|
恢复到已有或当前实例 |
rds:instance:restoreInPlace |
无。 |
|
获取实例binlog清理策略 |
rds:binlog:get |
无。 |
|
合并binlog文件 |
rds:binlog:merge |
无。 |
|
下载binlog文件 |
rds:binlog:download |
无。 |
|
删除binlog文件 |
rds:binlog:delete |
无。 |
|
设置binlog清理策略 |
rds:binlog:setPolicy |
无。 |
|
获取数据库备份文件列表 |
rds:backup:list |
无。 |
|
获取历史数据库列表 |
rds:backup:list |
无。 |
|
查询数据库错误日志 |
rds:log:list |
无。 |
|
查询数据库慢日志 |
rds:log:list |
无。 |
|
下载数据库错误日志 |
rds:log:download |
无。 |
|
下载数据库慢日志 |
rds:log:download |
无。 |
|
开启、关闭审计日志 |
rds:auditlog:operate |
无。 |
|
获取审计日志列表 |
rds:auditlog:list |
无。 |
|
查询审计日志策略 |
rds:auditlog:list |
无。 |
|
生成审计日志下载链接 |
rds:auditlog:download |
无。 |
|
获取主备切换日志 |
rds:log:list |
无。 |
|
创建数据库 |
rds:database:create |
无。 |
|
查询数据库列表 |
rds:database:list |
无。 |
|
查询指定用户的已授权数据库 |
rds:database:list |
无。 |
|
删除数据库 |
rds:database:drop |
无。 |
|
创建数据库账户 |
rds:databaseUser:create |
无。 |
|
查询数据库账户列表 |
rds:databaseUser:list |
无。 |
|
查询指定数据库的已授权账户 |
rds:databaseUser:list |
无。 |
|
删除数据库账户 |
rds:databaseUser:drop |
无。 |
|
授权数据库账户 |
rds:databasePrivilege:grant |
无。 |
|
解除数据库账户权限 |
rds:databasePrivilege:revoke |
无。 |
|
任务中心列表 |
rds:task:list |
无。 |
|
删除任务中心任务 |
rds:task:delete |
无。 |
|
包周期下单 |
bss:order:update |
购买包周期实例需要配置授权项: bss:order:pay |
|
用户标签操作 |
rds:instance:modify |
标签相关操作依赖tms:resourceTags:*权限。 |
|
存储空间自动扩容 |
rds:instance:extendSpace |
如果选择自动扩容,IAM主账号不需要添加授权项,IAM子账号需要添加如下授权项:
|
|
停止实例、开启实例 |
rds:instance:operateServer |
无。 |
|
停止实例 |
rds:instance:stop |
无。 |
|
开启实例 |
rds:instance:start |
无。 |
|
修改数据库用户名备注 |
rds:databaseUser:update |
无。 |
