更新时间:2024-11-08 GMT+08:00
分享

权限管理

如果您需要对华为云上购买云服务平台上创建的RDS资源,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。

通过IAM,您可以在华为账号中给员工创建IAM用户,并授权控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员,您希望开发人员拥有RDS的使用权限,但是不希望他们拥有删除RDS等高危操作的权限,那么您可以使用IAM为开发人员创建用户,通过授予仅能使用RDS,但是不允许删除RDS的权限,控制他们对RDS资源的使用范围。

如果华为账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用RDS服务的其它功能。

IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。关于IAM的详细介绍,请参见IAM产品介绍

RDS权限

默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。

RDS部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域(如华北-北京1)对应的项目(cn-north-1)中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问RDS时,需要先切换至授权区域。

根据授权精细程度分为角色和策略。
  • 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
  • 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对RDS服务,管理员能够控制IAM用户仅能对某一类数据库资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,RDS支持的API授权项请参见策略及授权项说明

表1所示,包括了RDS的所有系统权限。

表1 RDS系统策略

策略名称/系统角色

描述

类别

依赖关系

RDS FullAccess

关系型数据库服务所有权限。

系统策略

购买包周期实例需要配置授权项:

bss:order:update

bss:order:pay

如果要使用存储空间自动扩容功能,IAM子账号需要添加如下授权项:
  • 创建自定义策略:
    • iam:agencies:listAgencies
    • iam:agencies:createAgency
    • iam:permissions:listRolesForAgencyOnProject
    • iam:permissions:grantRoleToGroupOnProject
    • iam:roles:listRoles
    • iam:roles:createRole
  • 添加系统角色:Security Administrator
    1. 选择该用户所在的一个用户组。
    2. 单击“授权”。
    3. 添加Security Administrator系统角色。
创建RAM共享KMS密钥的包周期实例,依赖IAM权限点:
  • iam:agencies:listAgencies
  • iam:roles:listRoles
  • iam:agencies:pass
  • iam:agencies:createAgency
  • iam:permissions:grantRoleToAgency

其中RDS FullAccess已包含iam:agencies:listAgencies、iam:roles:listRoles、iam:agencies:pass权限。

由于RDS是Region级服务,而IAM是Global级服务,将RDS FullAccess授权给项目时,需要再授权BSS ServiceAgencyReadPolicy(全局级服务);如果将RDS FullAccess授权给全部项目,可正常使用IAM权限。

BSS ServiceAgencyCreatePolicy包含其他操作权限:iam:agencies:createAgency、iam:permissions:grantRoleToAgency。

RDS ReadOnlyAccess

关系型数据库服务资源只读权限。

系统策略

无。

RDS ManageAccess

关系型数据库服务除删除操作外的DBA权限。

系统策略

无。

RDS Administrator

关系型数据库服务管理员。

系统角色

依赖Tenant Guest和Server Administrator角色,在同项目中勾选依赖的角色。

仅添加RDS Administrator权限后,如果要使用存储空间自动扩容功能,IAM子账号需要添加的授权项请参见表3中的存储空间自动扩容的说明。

表2列出了RDS常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。

表2 常用操作与系统权限的关系

操作

RDS FullAccess

RDS ReadOnlyAccess

RDS ManageAccess

RDS Administrator

创建RDS实例

x

删除RDS实例

x

x

查询RDS实例列表

表3 常用操作与对应授权项

操作名称

授权项

备注

创建数据库实例

rds:instance:create

rds:param:list

界面选择VPC、子网、安全组需要配置:

vpc:vpcs:list

vpc:vpcs:get

vpc:subnets:get

vpc:securityGroups:get

vpc:securityGroupRules:get

创建加密实例需要在项目上配置KMS Administrator权限。

购买包周期实例需要配置:

bss:order:update

bss:order:pay

变更数据库实例的规格

rds:instance:modifySpec

无。

扩容数据库实例的磁盘空间

rds:instance:extendSpace

无。

单机转主备实例

rds:instance:singleToHa

若原单实例为加密实例,需要在项目上配置KMS Administrator权限。

重启数据库实例

rds:instance:restart

无。

删除数据库实例

rds:instance:delete

无。

查询数据库实例列表

rds:instance:list

无。

实例详情

rds:instance:list

实例详情界面展示VPC、子网、安全组,需要对应配置vpc:*:get和vpc:*:list。

修改数据库实例密码

rds:password:update

无。

修改端口

rds:instance:modifyPort

无。

修改内网IP

rds:instance:modifyIp

界面查询剩余ip列表需要:

vpc:subnets:get

vpc:ports:get

修改实例名称

rds:instance:modify

无。

修改运维时间窗

rds:instance:modify

无。

手动主备倒换

rds:instance:switchover

无。

修改同步模式

rds:instance:modifySynchronizeModel

无。

切换策略

rds:instance:modifyStrategy

无。

修改实例安全组

rds:instance:modifySecurityGroup

无。

绑定/解绑公网IP

rds:instance:modifyPublicAccess

界面列出公网ip需要:

vpc:publicIps:get

vpc:publicIps:list

设置回收站策略

rds:instance:setRecycleBin

无。

查询回收站

rds:instance:list

无。

开启、关闭SSL

rds:instance:modifySSL

无。

开启、关闭事件定时器

rds:instance:modifyEvent

无。

读写分离操作

rds:instance:modifyProxy

无。

申请内网域名

rds:instance:createDns

无。

备机可用区迁移

rds:instance:create

备机迁移涉及租户子网下的IP操作,若为加密实例,需要在项目上配置KMS Administrator权限。

表级时间点恢复

rds:instance:tableRestore

无。

透明数据加密(Transparent Data Encryption,TDE)权限

rds:instance:tde

仅用于RDS for SQL Server数据库实例。

修改主机权限

rds:instance:modifyHost

无。

查询对应账号下的主机

rds:instance:list

无。

获取参数模板列表

rds:param:list

无。

创建参数模板

rds:param:create

无。

修改参数模板参数

rds:param:modify

无。

应用参数模板

rds:param:apply

无。

修改指定实例的参数

rds:param:modify

无。

获取指定实例的参数模板

rds:param:list

无。

获取指定参数模板的参数

rds:param:list

无。

删除参数模板

rds:param:delete

无。

重置参数模板

rds:param:reset

无。

对比参数模板

rds:param:list

无。

保存参数模板

rds:param:save

无。

查询参数模板类型

rds:param:list

无。

设置自动备份策略

rds:instance:modifyBackupPolicy

无。

查询自动备份策略

rds:instance:list

无。

创建手动备份

rds:backup:create

无。

获取备份列表

rds:backup:list

无。

获取备份下载链接

rds:backup:download

无。

删除手动备份

rds:backup:delete

无。

复制备份

rds:backup:create

无。

查询可恢复时间段

rds:instance:list

无。

恢复到新实例

rds:instance:create

界面选择VPC、子网、安全组需要配置:

vpc:vpcs:list

vpc:vpcs:get

vpc:subnets:get

vpc:securityGroups:get

vpc:securityGroupRules:get

恢复到已有或当前实例

rds:instance:restoreInPlace

无。

获取实例binlog清理策略

rds:binlog:get

无。

合并binlog文件

rds:binlog:merge

无。

下载binlog文件

rds:binlog:download

无。

删除binlog文件

rds:binlog:delete

无。

设置binlog清理策略

rds:binlog:setPolicy

无。

获取数据库备份文件列表

rds:backup:list

无。

获取历史数据库列表

rds:backup:list

无。

查询数据库错误日志

rds:log:list

无。

查询数据库慢日志

rds:log:list

无。

下载数据库错误日志

rds:log:download

无。

下载数据库慢日志

rds:log:download

无。

开启、关闭审计日志

rds:auditlog:operate

无。

获取审计日志列表

rds:auditlog:list

无。

查询审计日志策略

rds:auditlog:list

无。

生成审计日志下载链接

rds:auditlog:download

无。

获取主备切换日志

rds:log:list

无。

创建数据库

rds:database:create

无。

查询数据库列表

rds:database:list

无。

查询指定用户的已授权数据库

rds:database:list

无。

删除数据库

rds:database:drop

无。

创建数据库账户

rds:databaseUser:create

无。

查询数据库账户列表

rds:databaseUser:list

无。

查询指定数据库的已授权账户

rds:databaseUser:list

无。

删除数据库账户

rds:databaseUser:drop

无。

授权数据库账户

rds:databasePrivilege:grant

无。

解除数据库账户权限

rds:databasePrivilege:revoke

无。

任务中心列表

rds:task:list

无。

删除任务中心任务

rds:task:delete

无。

包周期下单

bss:order:update

购买包周期实例需要配置授权项:

bss:order:pay

用户标签操作

rds:instance:modify

标签相关操作依赖tms:resourceTags:*权限。

存储空间自动扩容

rds:instance:extendSpace

如果选择自动扩容,IAM主账号不需要添加授权项,IAM子账号需要添加如下授权项:

  • 创建自定义策略:
    • iam:agencies:listAgencies
    • iam:agencies:createAgency
    • iam:permissions:listRolesForAgencyOnProject
    • iam:permissions:grantRoleToGroupOnProject
    • iam:roles:listRoles
    • iam:roles:createRole
  • 添加系统角色:Security Administrator
    1. 选择该用户所在的一个用户组。
    2. 单击“授权”。
    3. 添加Security Administrator系统角色。

停止实例、开启实例

rds:instance:operateServer

无。

停止实例

rds:instance:stop

无。

开启实例

rds:instance:start

无。

修改数据库用户名备注

rds:databaseUser:update

无。

相关文档