更新时间:2024-12-11 GMT+08:00
分享

委托GaussDB(DWS)管理资源

由于华为云各服务之间存在业务交互关系,一些运维操作需要与其他云服务协同完成,在使用这部分功能前需要您创建云服务委托,将操作权限委托给GaussDB(DWS),让GaussDB(DWS)以您的身份使用其他云服务,代替您进行一些资源运维工作。

  • 我们当前正在对委托权限进行整改,整改前的委托依赖的IAM权限较大,当前正在逐步牵引向新的委托进行迁移,如您期望尽快切换至整改后的低权限委托以便于更好的保护您的资源,请联系运维人员处理。
  • 默认情况下,只有华为云账号用户或拥有Security Administrator权限的用户才具备查询委托和创建委托的权限。账号中的IAM用户,默认没有查询委托和创建委托的权限,如果在查询或页面进行委托相关操作时出现权限不足的,此时需联系有权限的用户在当前页面完成对GaussDB(DWS)的委托授权。
  • 委托权限会从cache缓存中获取,cache的更新刷新机制为一小时一次。如果您有对委托的更新操作,最晚需要一小时才能生效。

GaussDB(DWS)委托权限(新)

GaussDB(DWS)结合委托操作实际依赖的接口,整改后的委托权限如下:

表1 GaussDB(DWS)委托权限

委托名

委托权限

使用场景说明

DWSAgencyAccess

DWS Agency Access

数据仓库服务使用委托功能时依赖的最小化权限。

例如:LTS实际仅依赖lts:groups:put,该系统策略中也仅拥有这一个LTS的操作权限。

完整依赖的操作信息可登录IAM服务管理控制台,在“权限管理 > 权限”页面单击“DWS Agency Access”权限查看。

图1 DWS Agency Access权限信息

GaussDB(DWS)委托权限(旧)

旧的委托权限依赖场景说明如下表所示:

表2 委托及权限使用说明

委托名

委托权限

使用场景说明

DWSAccessLTS

LTS FullAccess

LTS日志收集,上报日志到LTS服务。

DWSAccessOBS

OBS Administrator

审计日志转储,上报审计日志数据到OBS桶。

DWSAccessKMS

KMS Administrator

KMS加密集群,查询和轮转密钥。

DWSAccessVPC

Server Administrator

节点故障场景下,EIP从故障节点自动迁移到正常节点。

DWSAccessDWS

Tenant Administrator

  • 存算分离场景下,自动增删计划定时扩缩只读逻辑集群。
  • 缩容场景下,清理用户网卡、配置安全组规则。
  • 节点故障场景下,ELB添加和删除监听器实例。

相关文档