云服务器内容精选
-
后续管理 访问控制策略创建完成后,可在策略列表页面,管理已创建策略,包括管理关联用户或资源、删除策略、启停策略、策略排序等。 若需补充关联用户或资源,可单击“关联”,快速关联用户、用户组、资源账户、账户组。 若需删除策略,可选择目标策略,单击“删除”,立即删除策略。 若需禁用策略授权,可勾选一个或多个“已启用”状态的策略,单击“禁用”,策略状态变更为“已禁用”,策略授权立即失效。 若需排序策略优先等级,可选中策略行上下拖动策略,改变策略排序。 若需线下管理策略,可单击“导出”,以 CS V格式导出全量访问控制策略详情。
-
身份认证 用户访问云数据库 GaussDB 时支持对数据库用户进行身份验证,包含密码验证和 IAM 验证两种方式。 密码验证 您需要对数据库实例进行管理,使用数据管理服务(Data Admin Service)登录数据库时,需要对账号密码进行验证,验证成功后方可进行操作。 IAM验证 您可以使用 统一身份认证 服务(Identity and Access Management, IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制华为云资源的访问。您创建的IAM用户,需要通过验证用户和密码才可以使用GaussDB资源。具体请参见创建IAM用户并登录。
-
访问控制 权限控制 购买实例之后,您可以使用IAM为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,通过IAM进行精细的权限管理。具体内容请参见权限管理。 VPC和子网 虚拟私有云(Virtual Private Cloud, VPC)为云数据库构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云上资源的安全性,简化用户的网络部署。您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性,方便管理、配置内部网络,进行安全、快捷的网络变更。 子网提供与其他网络隔离的、可以独享的网络资源,以提高网络安全性。 具体内容请参见创建虚拟私有云和子网。 安全组 安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求并相互信任的和 GaussDB数据库 实例提供访问策略。为了保障数据库的安全性和稳定性,在使用GaussDB数据库实例之前,您需要设置安全组,开通需访问数据库的IP地址和端口。 具体请参见设置安全组规则。
-
配置示例 加速 域名 “www.example.com”User-Agent黑白名单配置如下图所示: 当HTTP Request Header中User-Agent如下两种情况时: User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36 命中黑名单,返回403状态码。
-
配置Redis ACL访问账号 登录分布式缓存服务管理控制台。 在管理控制台左上角单击,选择实例所在的区域。 单击左侧菜单栏的“缓存管理”,进入实例信息页面。 单击DCS缓存实例名称,进入该实例的基本信息页面。 选择“账号管理”进入账号管理页面。 “账号名称”为“default”的账号为实例的“默认账号”,默认账号的权限为读写权限,该账号的密码即缓存实例的访问密码。 单击“创建账号”,可以创建普通账号。 每个实例支持最多18个普通账号。 如果Redis实例开启了免密访问,创建的普通账号不生效,仅支持默认账号。 如需使用普通账号请先关闭默认账号的免密访问:单击默认账号对应“操作”列的“重置密码”即可为实例设置密码。 在弹出的创建账号窗口中,设置“账号名称”、选择账号权限为“只读”或“读写”、设置账号密码及备注。 单击“确定”,完成账号创建。 当使用创建的ACL普通账号连接实例时,需要配置实例密码为{username:password}。 以使用redis-cli连接Redis实例为例,当使用默认账号连接实例时命令如下: ./redis-cli -h {dcs_instance_address} -p 6379 -a {password} 如果使用实例创建的ACL普通账号连接,实例密码需要配置为“账号名称:账号密码”: ./redis-cli -h {dcs_instance_address} -p 6379 -a {username:password} 图1 账号管理
-
通信安全 中心云与CloudPond之间存在如下两类网络线路通信: 运维管理线路:该线路通过CloudPond内置VPN(Virtual Private Network)实现传输加密,保证网络通信安全。其相关数据为平台运维和服务管控层数据,不涉及用户业务数据通信。 业务互联线路:该线路通过网络加密技术实现传输加密,保证网路通信安全。其相关数据为CloudPond本地实例和中心云服务之间的通信数据,该传输数据和传输策略由用户VPC进行控制。
-
企业项目 CloudPond支持通过企业项目对资源进行分组、管理和隔离,实现按照企业、部门或者项目组等不同组织对资源的管理和访问控制。 企业项目是对多个资源进行分组和管理,不同区域的资源可以划分到一个企业项目中。企业可以根据不同的部门或项目组,将相关的资源放置在相同的企业项目内进行管理,并支持资源在企业项目之间迁移。 企业项目可以授权给一个或者多个用户组进行管理,管理企业项目的用户归属于用户组。通过给用户组授予策略,用户组中的用户就能在所属企业项目中获得策略中定义的权限。 关于如何创建企业项目,以及如何授权,请参阅企业项目。
-
响应参数 状态码: 400 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误信息。 request_id String 请求唯一标识。 状态码: 403 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误信息。 request_id String 请求唯一标识。
-
请求示例 启用指定实例的访问控制功能。 POST https://{hostname}/v1/instances/{instance_id}/access-control-attribute-configuration { "instance_access_control_attribute_configuration" : { "access_control_attributes" : [ { "key" : "email", "value" : { "source" : [ "${path:emails[primary eq true].value}" ] } }, { "key" : "displayName", "value" : { "source" : [ "${path:displayName}" ] } } ] } }
-
请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Security-Token 否 String 如果正在使用临时安全凭据,则此header是必需的,该值是临时安全凭据的安全令牌(会话令牌)。 最大长度:2048 表3 请求Body参数 参数 是否必选 参数类型 描述 instance_access_control_attribute_configuration 是 Object 指定要添加到ABAC配置的IAM身份中心身份源属性。 表4 instance_access_control_attribute_configuration 参数 是否必选 参数类型 描述 access_control_attributes 是 Array of objects IAM身份中心实例中ABAC配置的属性。 数组长度:0 - 20 表5 access_control_attributes 参数 是否必选 参数类型 描述 key 是 String 与您的身份源中的身份关联的属性的名称。 最小长度:1 最大长度:128 value 是 Object 用于将指定属性映射到身份源的值。 表6 value 参数 是否必选 参数类型 描述 source 是 Array of strings 用于将指定属性映射到身份源的值。 最小长度:0 最大长度:255 数组长度:1-1
-
行级访问控制 在业务开发过程中,存在多个用户共同访问和维护同一张表的场景,需要针对不同用户设置不同行数据的访问权限。例如只允许用户A查看跟自己相关的行数据,即相对于表的管理员能看到全部表数据而言,用户A执行SELECT * FROM table_name的时候,只能看到部分行数据,不能看到所有,以行级进行数据访问控制,对此GaussDB(DWS)行级访问控制特性实现了这一功能。将数据库访问控制精确到数据表行级别,使数据库达到行级访问控制的能力。不同用户执行相同的SQL查询操作,读取到的结果是不同的。 用户可以在数据表创建行访问控制(Row Level Security)策略,该策略是指针对特定数据库用户、特定SQL操作生效的表达式。当数据库用户对数据表访问时,若SQL满足数据表特定的Row Level Security策略,在查询优化阶段将满足条件的表达式,按照属性(PERMISSIVE | RESTRICTIVE)类型,通过AND或OR方式拼接,应用到执行计划上。 行级访问控制的目的是控制表中行级数据可见性,通过在数据表上预定义Filter,在查询优化阶段将满足条件的表达式应用到执行计划上,影响最终的执行结果。当前受影响的SQL语句包括SELECT,UPDATE,DELETE。 了解更多请参见行级访问控制。 父主题: 身份认证与访问控制
-
约束与限制 当前仅支持简单模式的工作空间资源管控,不支持企业模式。 如果未对某资源进行赋权,则默认该资源权限放开,不做权限管控。 当前仅数据开发组件支持空间资源权限策略,其他组件不受空间资源权限策略限制。在数据开发组件如下场景中,会根据空间资源权限策略进行鉴权。 脚本开发或者作业开发中,选择连接或作业委托、公共委托。 提交脚本或者作业。 对于历史版本中直接在数据开发组件创建的数据连接,暂不支持进行资源权限管理。 对于已有的空间资源权限策略,当已删除对应资源后,策略不会随之自动删除。
-
新建空间资源权限策略 在 DataArts Studio 控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。 单击左侧导航树中的“空间资源权限”,进入空间资源权限页面。 图1 进入空间资源权限页面 单击空间资源权限页面的“新建” ,在弹出的策略配置页参考表1配置相关参数,配置完成单击“保存”,策略配置完成。 表1 配置空间资源权限策略参数说明 参数名 参数描述 *策略名称 标识空间资源权限策略,为便于策略管理,建议名称中包含资源对象和授权对象。 资源对象 数据连接 选择需要授权的管理中心组件数据连接。如需新建数据连接,请参考创建DataArts Studio数据连接。 说明: 对于未选择的数据连接,则默认该连接权限放开,不做权限管控。 对于选择的数据连接,则非授权对象的普通用户(即非DAYU Administrator、Tenant Administrator、数据安全管理员或预置的工作空间管理员角色的用户)将无权再查看并使用该连接。 委托 选择需要授权的IAM委托,仅限于委托对象为“ 数据湖 治理中心 DGC”的云服务类型委托。如需新建委托,请参考参考:创建委托。 说明: 对于未选择的委托,则默认该委托权限放开,不做权限管控。 对于选择的委托,则非授权对象的普通用户(即非DAYU Administrator、Tenant Administrator、数据安全管理员或预置的工作空间管理员角色的用户)将无权再查看并使用该委托。 授权对象 用户 选择需要授权的用户。用户列表来自于工作空间用户。 用户组 选择需要授权的用户组。用户组列表来自于工作空间用户组。 角色 选择需要授权的角色。角色列表来自于系统预置角色和自定义角色。 图2 新建空间资源权限策略
-
配置空间权限集 在DataArts Studio控制台首页,选择对应工作空间的“数据安全”模块,进入数据安全页面。 单击数据安全左侧导航树中的“空间权限集”,进入空间权限集页面。 在“空间权限集”页面,找到需要配置的空间权限集,单击权限集名称进入详情页面。 图3 进入空间权限集详情 基本信息:在空间权限集详情页面,基本信息区域可以查看空间权限集名称、ID、管理员等信息,详见图4。 图4 空间权限集基本信息 权限配置:在权限集详情页面,权限配置页签默认展示数据视角,可手动切换到权限视角。在这两种视角下,配置的权限数据是互通的,差异仅为展示视角的不同,推荐您使用权限视角进行批量授权。 数据视角:数据视角下,系统从数据的角度为您提供权限配置入口,当前仅支持 MRS 数据源。 图5 数据视角权限配置 配置权限时,您可以选择“整库”、“整表”或“整列”等层级,然后在数据源信息中勾选对应层级,进行批量授权。另外,也可以在展开的导航树中,单击对应数据操作列中的“授权”,进行单一授权。 数据视图授权时,系统也提供了“快速模式”和“显示无权限的资源”功能。开启快速模式的情况下,库表列的元数据会从数据目录获取,否则会从数据源获取元数据。已完成元数据采集的场景下推荐开启快速模式。 值得注意的是,库、表、列的权限是分层管理的,例如仅授予库权限后,则被授权用户对表和列依然是无权限的,如需对表或列授权,要再次按照对应层级进行授权。 例如,选择数据库授权,当手动填写数据表表名、或者填写“*”作为通配符时,此授权实际为对表进行授权;当手动填写数据列名、或者填写“*”作为通配符时,此授权实际为对列进行授权。 进行授权时,授权对象名(库表列名)当前仅支持包含数字、英文、下划线、中划线和通配符*,暂不支持中文以及其他特殊字符。 图6 数据视角授权 权限视角:权限视角下,系统从权限的角度为您提供权限配置入口。 配置权限时,您需要直接单击“新建”,然后依次选择数据层级,进行权限配置。在权限视角下,同一层级(例如数据库、数据表或数据列)不允许选择多个对象进行批量授权。当前权限类型暂不支持选择为“禁止”。 值得注意的是,库、表、列的权限是分层管理的,例如仅授予库权限后,则被授权用户对表和列依然是无权限的,如需对表或列授权,要再次按照对应层级进行授权。 例如,选择数据库授权,当手动填写数据表表名、或者填写“*”作为通配符时,此授权实际为对表进行授权;当手动填写数据列名、或者填写“*”作为通配符时,此授权实际为对列进行授权。 进行授权时,授权对象名(库表列名)当前仅支持包含数字、英文、下划线、中划线和通配符*,暂不支持中文以及其他特殊字符。 MRS Hive授权时,数据库可修改为URL,用于为存算分离场景下的OBS路径授权。存算分离场景下,使用Hive额外所需如下URL权限: 创建库:write 权限创建表/写入数据/删除表:read权限 配置权限后,在权限视角下支持您对所配置的权限进行编辑、同步或删除等操作。 图7 权限视角权限配置 用户配置:在权限集详情页面,单击“用户配置”进入用户配置页签。 用户配置的含义即为将权限配置中定义的数据权限,与此处的用户绑定起来。您可以单击“添加”,按照用户或用户组(当前暂不支持选择“工作空间角色”)的维度将用户添加到权限集中。其中的用户和用户组来自于当前工作空间中已添加的用户和用户组。 图8 用户配置 子权限集:在权限集详情页面,单击“子权限集”进入子权限集页签。 在子权限集页签,您可以查看到当前权限集下的子权限集。 图9 查看子权限集 日志:在权限集详情页面,单击“日志”进入日志页签。 在日志页签,当权限同步失败后,您可以查看到日志详情。系统每天0点定时删除30天前的日志。 图10 查看日志 权限集配置完成后,权限管控并不会直接生效。需要您手动将权限同步到数据源中,同步成功后权限管控才能生效,详见同步权限集。 实际上,由于空间权限集主要用于确定工作空间权限范围,而非权限管控,因此一般无需同步空间权限集,实际使用中推荐通过配置角色进行权限管控。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
