文档首页/ 数据复制服务 DRS/ 产品介绍/ 委托管理(新)
更新时间:2024-11-25 GMT+08:00
查看PDF
分享

委托管理(新)

当用户创建DRS任务使用的是子账号,执行定时启动任务、全量完成自动结束、自动续传失败任务、定时对比任务等自动功能时,需要使用“账户委托”,否则会导致执行失败。

数据复制服务支持在创建任务的时候,自动将用户账户委托给数据复制服务的管理租户,即op_svc_rds,或将用户账户委托给RDS云服务,便于在执行定期任务的时候,具有对任务实行自动化管理的权限。

解决方案

  • 方法一:使用主账号重新创建一次任务,主账号默认有Security Administrator权限,可在创建任务后将委托创建出来。
  • 方法二:使用主账号在子账号所在的用户组添加Security Administrator权限后,重新创建任务。添加权限的具体操作请参见:创建用户并授权使用DRS
  • 方法三:使用主账号在子账号所在的用户组添加自定义策略后,重新创建任务。添加步骤如下:
    1. 使用主账号登录华为云,在右上角单击“控制台”。
    2. 在控制台页面,鼠标移动至右上方的账号名,在下拉列表中选择“统一身份认证”。
    3. 在统一身份认证服务,左侧导航窗格中,选择“权限管理>权限”页签,单击右上方的“创建自定义策略”。
    4. 输入“策略名称”。在“策略内容”下配置包含以下内容的自定义策略,创建自定义策略操作请参见:创建自定义策略
      • 创建委托:iam:agencies:createAgency
      • 查询委托列表:iam:agencies:listAgencies
      • 给委托授权:iam:permissions:grantRoleToAgency、iam:permissions:grantRoleToAgencyOnProject、iam:permissions:grantRoleToAgencyOnDomain
      • 查询委托授权:iam:roles:listRoles、iam:permissions:listRolesForAgencyOnProject、iam:permissions:listRolesForAgencyOnDomain
    5. 创建完成后,给子账号所在用户组添加4中创建的自定义策略,其中授权范围选择“全局服务资源”。添加自定义策略的具体操作请参见:创建用户组并授权
  • 方法四:手动添加“账户委托”,添加步骤如下:
    1. 使用主账号登录华为云,在右上角单击“控制台”。
    2. 在控制台页面,鼠标移动至右上方的账号名,在下拉列表中选择“统一身份认证”。
    3. 在统一身份认证页面,单击左侧导航窗格中“委托”,进入“委托”页面。
    4. 在“委托”页面,单击右上方的“+创建委托”进行委托创建。
    5. 填写委托名称为“DRS_AGENTCY” ,委托类型为 “普通账号”时, 委托的账号为 “op_svc_rds”;委托类型为“云服务”时,选择“关系型数据库MySQL”;持续时间为“永久”,完成后单击“下一步”。
      图1 创建委托
    6. 在“选择策略”页面,根据不同的任务类型,选择对应的授权策略,完成后单击右下角的“下一步”。
      • 自建-自建任务授权策略:DRS FullAccess。
      • 入云或出云任务授权策略:DRS FullAccess、对应源数据库以及目标数据库的ReadOnlyAccess。

      以MySQL->MySQL入云迁移为例,需要授权DRS FullAccess以及RDS ReadOnlyAccess策略。

      不同数据库引擎需要的权限可参考表1

      表1 数据库引擎授权策略

      数据库引擎

      对应授权策略

      MySQL

      RDS ReadOnlyAccess

      Microsoft SQL Server

      RDS ReadOnlyAccess

      PostgreSQL

      RDS ReadOnlyAccess

      MongoDB

      DDS ReadOnlyAccess

      DDS

      DDS ReadOnlyAccess

      GaussDB(DWS)

      DWS ReadOnlyAccess

      GaussDB(for MySQL)

      GaussDBReadOnlyAccess

      DDM

      DDMReadOnlyAccess,RDSReadOnlyAccess

      GaussDB分布式版

      GaussDBReadOnlyAccess

      GaussDB主备版

      GaussDBReadOnlyAccess

      GeminiDB Mongo

      GeminiDBReadOnlyAccess

      Cassandra

      GeminiDBReadOnlyAccess

      GeminiDB Redis

      GeminiDBReadOnlyAccess

      MariaDB

      RDSReadOnlyAccess

      GeminiDB Cassandra

      GeminiDBReadOnlyAccess
      图2 选择策略
    7. 在“设置最小授权范围”页面,选择授权范围,完成后单击右下角的“确定”。
      • DRS FullAccess授权范围需要先选择全局服务资源授权后,再基于指定区域项目资源设置最小授权范围。
      • 对应源数据库以及目标数据库的ReadOnlyAccess权限授权范围选择指定区域项目资源。
      图3 指定区域项目授权
    8. 授权完成后,单击委托名称,在“授权记录”中可看到授权记录。
    9. 权限生效时间提醒,您选中的权限由于系统设计的原因,授权后需等待15-30分钟才可生效。

相关文档