更新时间:2024-04-17 GMT+08:00

FullAccess敏感权限配置

DBSS的full权限集涉及部分用户的敏感权限,比如订单支付、obs桶创建和文件上传、委托的创建及委托权限设置等。

这部分权限对用户资产影响较大,故不在系统预制权限集中添加,需通过说明文档方式,由用户手动添加。

相关敏感权限说明如表1所示,权限详情如下:

"obs:bucket:CreateBucket",
"obs:object:PutObject",
"bss:order:pay",
"iam:agencies:createAgency",
"iam:permissions:grantRoleToAgency",
"iam:permissions:grantRoleToAgencyOnEnterpriseProject",
"iam:permissions:grantRoleToAgencyOnDomain",
"iam:permissions:grantRoleToAgencyOnProject"
表1 敏感权限说明

敏感权限项

使用场景说明

是否为global权限

敏感权限规避措施

obs:bucket:CreateBucket

  • agent在CCE场景部署时,如果上传的obs桶不存在,则会调用该接口创建obs桶。上传的obs桶名固定为:dbss-audit-agent-{project_id},project_id为当前实例所在的项目id。
  • 备份和风险导出功能场景,如果选择的桶不存在,则会创建obs桶。

  • 如不涉及权限使用场景,可以不配置该权限。
  • 如涉及,可以提前使用有权限的账号创建要使用的obs桶即可。

obs:object:PutObject

agent在CCE场景部署时,将实例配置信息上传到obs桶。

  • 如不涉及权限使用场景,可以不配置该权限。
  • 如需使用,必须配置该权限才能将实例信息正常导出,无规避措施。

iam:agencies:createAgency

iam:permissions:grantRoleToAgency

iam:permissions:grantRoleToAgencyOnEnterpriseProject

iam:permissions:grantRoleToAgencyOnDomain

iam:permissions:grantRoleToAgencyOnProject

  • 备份和风险导出场景,创建名为"dbss_depend_obs_trust"的委托并对其授予obs操作相关权限。
  • dws免agent场景,dws会创建名为"DWSAccessLTS"的委托,并对其授予访问lts的权限,用于将审计日志上传到租户的lts中。dbss会创建名为"dbss_dws_lts_trust"的委托,并对其授予lts访问权限,用于后续从lts下载审计日志。

  • 如不涉及权限使用场景,可以不配置该权限。
  • 使用有权限的账号开启该功能。

bss:order:pay

购买审计实例时,进行订单支付。

  • 如不涉及权限使用场景,可以不配置该权限。
  • 使用有权限的账号提前购买实例。