更新时间:2024-11-05 GMT+08:00
委托GaussDB(DWS)管理资源
由于华为云各服务之间存在业务交互关系,一些运维操作需要与其他云服务协同完成,在使用这部分功能前需要您创建云服务委托,将操作权限委托给GaussDB(DWS),让GaussDB(DWS)以您的身份使用其他云服务,代替您进行一些资源运维工作。
- 我们当前正在对委托权限进行整改,整改前的委托依赖的IAM权限较大,当前正在逐步牵引向新的委托进行迁移,如您期望尽快切换至整改后的低权限委托以便于更好的保护您的资源,请联系运维人员处理。
- 默认情况下,只有账华为云账号用户或拥有Security Administrator权限的用户才具备查询委托和创建委托的权限。账号中的IAM用户,默认没有查询委托和创建委托的权限,如果在查询或页面进行委托相关操作时出现权限不足的,此时需联系有权限的用户在当前页面完成对GaussDB(DWS)的委托授权。
- 委托权限会从cache缓存中获取,cache的更新刷新机制为一小时一次。如果您有对委托的更新操作,最晚需要一小时才能生效。
GaussDB(DWS)委托权限(新)
GaussDB(DWS)结合委托操作实际依赖的接口,整改后的委托权限如下:
|
委托名 |
委托权限 |
使用场景说明 |
|---|---|---|
|
DWSAgencyAccess |
DWS Agency Access |
数据仓库服务使用委托功能时依赖的最小化权限。 例如:LTS实际仅依赖lts:groups:put,该系统策略中也仅拥有这一个LTS的操作权限。 |
完整依赖的操作信息可登录IAM服务管理控制台,在“权限管理 > 权限”页面单击“DWS Agency Access”权限查看。
图1 DWS Agency Access权限信息
GaussDB(DWS)委托权限(旧)
旧的委托权限依赖场景说明如下表所示:
|
委托名 |
委托权限 |
使用场景说明 |
|---|---|---|
|
DWSAccessLTS |
LTS FullAccess |
LTS日志收集,上报日志到LTS服务。 |
|
DWSAccessOBS |
OBS Administrator |
审计日志转储,上报审计日志数据到OBS桶。 |
|
DWSAccessKMS |
KMS Administrator |
KMS加密集群,查询和轮转密钥。 |
|
DWSAccessVPC |
Server Administrator |
节点故障场景下,EIP从故障节点自动迁移到正常节点。 |
|
DWSAccessDWS |
Tenant Administrator |
|
父主题: 准备工作
