华为云用户手册

RDS控制台为什么不能购买只读实例 只读实例不能单独存在，必须在购买主备实例或者单机实例后创建只读实例，如图1所示。只读实例和主备实例（或者单机实例）使用独立的IP连接地址。 图1 创建只读实例 关于RDS for MySQL只读实例的详细介绍请参见只读实例介绍。 关于RDS for MariaDB只读实例的详细介绍请参见只读实例介绍。 关于RDS for PostgreSQL只读实例的详细介绍请参见只读实例介绍。 关于RDS for SQL Server只读实例的详细介绍请参见只读实例介绍。 父主题： 只读实例和读写分离

如何通过命令获取RDS for SQL Server的错误日志 通过rdsuser帐户登录Microsoft SQL Server客户端。 在查询框进行执行如下查询语句，查询错误日志。 EXECUTE master.dbo.rds_read_errorlog FileID,LogType,FilterText,FilterBeginTime,FilterEndTime FileID：Error Log的日志文件编号，0表示最近的日志。 LogType：日志类型。取值为1查询的日志类型为error logs，取值为2查询的日志类型为Agent logs。 FilterText：查询关键字，可为NULL。 FilterBeginTime：日志查询开始时间，可为NULL。 FilterEndTime：日志查询完成时间，可为NULL。 示例如下： EXEC master.dbo.rds_read_errorlog 0,1,'FZYUN','2018-06-14 14:30','2018-06-14 14:31' 查询结果，如图1所示： 图1 查询示例 父主题： 日志管理

可以访问RDS备实例吗 华为云RDS支持主实例+备实例+只读实例的模式，其中主实例和只读实例可以访问，备实例无法直接访问。 RDS的备实例支持与主实例切换，切换后原来的备实例会变成主实例，主备实例的数据会实时同步。 对于RDS for MySQ L实例 ，请参见手动切换主备实例。 对于RDS for MariaDB实例，请参见手动切换主备实例。 对于RDS for PostgreSQL实例，请参见手动切换主备实例。 对于RDS for SQL Server实例，请参见手动切换主备实例。 父主题： 数据库连接

RDS的root账号为什么没有super权限 云数据库RDS没有给root账号提供super权限。因为一旦用户拥有了super权限，就可以执行很多管理性的命令，比如reset master，set global…，kill线程，reset slave等，很有可能导致主备关系异常而出现故障。 对于要求super权限的场景，RDS可以提供服务化能力，也可以通过其他方法绕过super权限的限制。 举例1：通过登录数据库执行如下命令来修改参数，会报权限不足，您只能通过RDS界面修改参数。 set global 参数名=参数值; 如果您的脚本中包含set global命令导致super缺失，请删除set global命令，通过RDS界面修改参数。 举例2：执行如下命令出现报错，也是因为没有super权限导致，只需要去除definer='root'关键字即可。 create definer='root'@'%’ trigger(procedure)… 如果您缺失super权限，可以使用mysqldump导入数据，请参考使用mysqldump迁移MySQL数据导入和导出数据。 举例3：如果在创建RDS for PostgreSQL插件时缺少super权限，请参考管理插件进行创建。 父主题： 数据库权限

RDS备份文件是否支持转储至用户的OBS桶 备份文件不支持直接转储到用户自己创建的OBS桶。 对于RDS for MySQL实例，如果需要转储，建议通过本地下载全量备份文件，或者通过合并下载Binlog备份文件，通过OBS Browser+转储。 对于RDS for MariaDB实例，如果需要转储，建议通过本地下载全量备份文件，或者通过合并下载Binlog备份文件，通过OBS Browser+转储。 对于RDS for PostgreSQL实例，如果需要转储，建议通过本地下载全量备份文件或者增量备份文件，通过OBS Browser+转储。 对于RDS for SQL Server实例，如果需要转储，建议通过本地下载全量备份文件，通过OBS Browser+转储。 父主题： 备份与恢复

mysqlbinlog工具使用方法 本章节介绍mysqlbinlog工具的使用方法，用于本地解析binlog。 binlog的基本组成单元是binlog_event，同时server是以二进制的格式写入binlog文件，所以如果想通过文本格式显示binlog内容，需要mysqlbinlog工具来解析。该工具一般放在mysqld的同级目录下。 调用方式为：mysqlbinlog [options] log_file ... 示例：mysqlbinlog masterbin.000001 binlog内容示例： # at 141#210309 9:28:36 server id 123 end_log_pos 245Query thread_id=3350 exec_time=11 error_code=0 at 141：binlog文件中的位置信息。 #210309 9:28:36：时间戳信息，表示写入此条binlog的时间为UTC时间21年3月9日 9点28分36秒。 Query thread_id：表示线程号。 mysqlbinlog的常用参数： --start-position：表示从指定的起始位置开始解析。 --start-datetime：表示从指定的时间开始解析。 --stop-position：表示解析到指定的位置。 --stop-datetime：表示解析到指定的时间。 --skip-gtids：跳过打印gtid_log_event。 --short-form：表示只显示statements。 --result-file：将binlog解析生成sql文件。 父主题： 数据库基本使用

RDS for MySQL 8.0是否支持全文检索 MySQL 8.0版本支持全文检索，关键字为FULLTEXT。可执行如下SQL语句测试。 创建表 CREATE TABLE ARTICLE ( id int unsigned NOT NULL AUTO_INCREMENT, title varchar(200) DEFAULT NULL, content text, PRIMARY KEY (id), FULLTEXT KEY title (title,content), FULLTEXT KEY fulltext_article (title,content) ) ENGINE=InnoDB DEFAULT CHARSET=utf8; 创建索引 ALTER TABLE ARTICLE ADD FULLTEXT INDEX fulltext_article (title,content); 查看索引 SHOW INDEX FROM ARTICLE; 父主题： 数据库基本使用

解决方法 通过内网连接数据库实例。用内网连接，不会出现因为带宽等原因的拥塞。 具体请参见： 通过内网连接RDS for MySQL实例 通过内网连接RDS for MariaDB实例 通过内网连接RDS for PostgreSQL实例 通过内网连接RDS for SQL Server实例 通过控制台设置参数innodb_adaptive_hash_index=off ， 关闭自适应hash索引，减少锁等待。参数修改具体请参见编辑参数模板。 优化慢查询。

如何设置RDS for MySQL实例开启查询缓存 查询缓存（query_cache）相关的参数，不支持通过控制台设置。如需开启查询缓存，请提交工单申请。 不建议开启查询缓存，原因有以下几点： 仅在用户频繁访问同一条SQL的场景下，query_cache会带来一定的性能优化，在其他场景下，query_cache带来的额外资源消耗会降低SQL执行的性能。 从实际的测试情况来看，关闭query_cache后的性能优势会更明显。 query_cache功能在MySQL社区已停止维护。 父主题： 数据库参数修改

操作步骤 本章使用Windows server 2012 r2搭建域服务器。 创建加域实例的时候，用户的域控服务器不能配置域级别的组策略对象（GPO，Group Policy Object），或者域级别GPO要禁用掉，否则用户创建加域实例将会失败。 如果需要应用域级别的GPO，需要另外购买E CS 搭建新的域控服务器，并且该域控服务器不能设置应用域级别的GPO，然后创建加入该域的实例，将用户侧域控服务器和新的域控服务器建立信任关系即可使用RDS for SQL Server加域实例。 安装AD域控制器。 打开服务管理器，单击“添加角色和功能”。 单击“下一步”，直到“选择服务器角色”页面，勾选“Active Directory域服务”选项，并在弹框中单击“确认添加”。 单击“下一步”，直到“安装”页面，单击“安装”，启动角色安装流程。 成功安装之后，如下图所示会有一个黄色三角提示标，单击“将此服务器提升为域服务器”，进入Active Directory域服务配置向导。 在“部署配置”页面，选择“添加新林”，并设置 域名 （如：newrds. com）。 单击“下一步”，配置域服务器参数，输入DSRM的密码（非域用户）。 单击“下一步”，直到“安装”页面，单击“安装”，开始安装AD域服务器，安装完成后会自动重启。 修改网络接口中的DNS配置。将主DNS服务器设置为自己的IP地址。（如：192.168.0.133） 创建并添加域账号。 打开“Active Directory用户和计算机”，右键单击“新建”，选择“用户”。输入用户名称，单击“下一步”。 输入“名称”、“姓氏”和“用户登录名”。（如：luna@newrds.com） 填写域账号密码和确认密码。取消所有勾选框的检查（第一次登录时不要更改密码）。 添加成功后如下图所示。可以将域账号添加到用户组中进行权限控制。 对于需要登录RDS实例的域账号，请将用户添加至AD Admin组中。 将RDS云实例加入域中。 仅需要在正常实例创建页面，单击“现在配置”。单击“立即购买”后，实例会去进行加域操作，创建成功后即可使用。 表1 AD域参数配置 参数 说明 目录地址 支持Active Directory域服务的弹性云服务器所在IP地址。 示例：192.168.x.x。 说明： 请确认该IP地址可以成功连接云数据库RDS实例。如遇到网络问题请联系客服人员。 域名 一个完全限定域名，示例：DBStest.com，域名有如下限制： 该域名必须和用户设置的华为云弹性云服务器的域名保持一致。 域名长度不超过48个字符。 域名只能包含：字母、数字、中划线和英文句点。 域名必须包含扩展名，且扩展名长度大于等于2个字符，不能包含数字，例如.com。 域账号名称 建议设置为域管理员账号。 域账号密码 您所设置的域账号密码。 请妥善管理您的密码，因为系统将无法获取您的密码信息。

RDS for MySQL与 GaussDB (for MySQL)的区别 GaussDB(for MySQL)拥有较好的性能、扩展性和易用性，详情请参见表1。 表1 GaussDB(for MySQL)与RDS for MySQL的差异 类别 RDS for MySQL GaussDB(for MySQL) 架构 传统主备架构，主备通过binlog同步数据。 存算分离架构，计算节点共享一份数据，无需通过binlog同步数据。 性能 十万级QPS，高并发场景下性能提升3倍。 支持百万级QPS；对于某些业务负载，吞吐量最高可提升至开源MySQL7倍；复杂查询场景，支持将提取列、条件过滤、聚合运算等操作向下推给存储层处理，性能相比传统架构提升数十倍。 扩展性 最多添加5个只读节点，添加只读所需时间与数据量大小相关，并且需要增加一份存储。 存储自动扩容，最大支持4TB。 最多添加15只读，由于共享存储，添加只读节点所需时间与数据量大小无关，且无需增加一份存储。 存储自动扩容，最大支持128TB。 可用性 故障自动倒换，RTO通常小于30秒。 主节点和只读节点无需通过binlog进行数据同步，延时更低，故障自动切换，RTO通常小于10秒。 备份恢复 通过全量备份+binlog回放实现任意时间点回滚。 通过全量备份（快照）+redo回放实现任意时间点回滚，备份恢复速度更快。 数据库版本 MySQL 5.6、5.7和8.0。 MySQL 8.0。 父主题： 产品咨询

RDS数据库在备份时间段中是否可用 备份窗口是用户定义的时间段，在该时间段内云数据库RDS实例将进行备份。云数据库RDS服务借助这些定期数据备份，让您能够将云数据库RDS实例还原到保留期内的备份点。 在备份时段期间，业务不受影响，但不能在云数据库RDS服务的管理控制台做重启操作。 全量备份时，会连接备份所属的实例，校验该实例的状态。如果校验存在以下两种情况，则校验不通过，会自动进行校验重试。如果重试结束后，仍然无法满足，则备份失败。 备份所属的实例正在执行DDL操作。 从备份所属的实例获取备份锁失败。 父主题： 备份与恢复

导入Windows操作系统 单击“开始”，运行框输入“MMC”，回车。 在MMC控制台菜单栏中单击“文件”，选择“添加/删除管理单元”。 在“添加或删除管理单元”对话框，选择“可用管理单元”区域的“证书”。单击“添加”添加证书。 在“证书管理”对话框，选择“计算机账户”，单击“下一步”。 在“选择计算机”对话框，单击“完成”。 在“添加或删除管理单元”对话框，单击“确定”。 在MMC控制台，双击“证书”。 右键单击“受信任的根证书颁发机构”，选择“所有任务”，单击“导入”。 单击“下一步”。 单击“浏览”，将文件类型更改为“所有文件 (*.*)”。 找到下载的根证书ca.pem文件，单击“打开”，然后在向导中单击“下一步”。 您必须在浏览窗口中将文件类型更改为“所有文件 (*.*)”才能执行此操作，因为“.pem”不是标准证书扩展名。 单击“下一步”。 单击“完成”。 单击“确定”，完成根证书导入。

设置指定用户的密码过期策略 创建用户的同时设置密码过期策略 create user 'script'@'localhost' identified by '*********' password expire interval 90 day; 创建用户后设置密码过期策略 ALTER USER 'script'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY; 设置密码永不过期 CREATE USER 'mike'@'%' PASSWORD EXPIRE NEVER; ALTER USER 'mike'@'%' PASSWORD EXPIRE NEVER; 设置密码遵从全局到期策略 CREATE USER 'mike'@'%' PASSWORD EXPIRE DEFAULT; ALTER USER 'mike'@'%' PASSWORD EXPIRE DEFAULT;

客户端问题导致连接RDS实例失败 客户端问题导致连接云数据库RDS失败，可以从以下几个方面检查。 弹性云服务器的安全策略 对于Windows平台，可检查Windows的安全策略是否开放云数据库RDS端口。对于Linux平台，可使用iptables检查防火墙及端口的放行情况。 应用配置错误 常见的有连接地址写错、端口参数配置错误和JDBC等的连接参数配置错误。 用户名或密码错误 如果连接数据库时出现类似如下错误，请检查用户名或密码是否正确。 [Warning] Access denied for user 'username'@'yourIp' (using password: NO) [Warning] Access denied for user 'username'@'yourIp' (using password: YES) Login failed for user 'username' 如问题仍未解决，请联系售后技术支持。 父主题： 数据库连接

RDS数据库中数据被损坏的可能原因有哪些 数据被篡改 有很多安全措施保证只有经过认证的用户才能操作数据库表数据，只能通过指定的数据库服务端口来访问数据库表。 主备数据库在同步过程中有传输包校验功能，所以不会出现数据被篡改。RDS for MySQL使用InnoDB引擎，不容易出现数据损坏。 可能会出现实例服务器突然停电，导致数据库有页损坏，数据库无法启动。 当主机出现故障时，系统会在1～5分钟切换到备机，继续为您服务。切换过程中云数据库RDS实例不可访问，需要您设置好程序跟服务的自动重连，避免因为切换导致服务不可用。 父主题： 网络安全

服务端问题导致连接RDS实例失败 云数据库RDS服务端可能出现的问题如下，请依次进行检测。 连接方式有误。 解决方法：检查连接方式。如果是通过内网连接RDS实例，弹性云服务器与云数据库RDS实例必须处于同一虚拟私有云内，且只能通过弹性云服务器连接。如果通过公网连接RDS实例，该弹性云服务器可以与目标实例不在同一个虚拟私有云内。 连接数满。 解决方法：通过云数据库RDS服务的资源监控功能查看连接数、CPU使用率等指标是否正常。如果达到上限，需要重启云数据库RDS实例数据库，断开实例连接或升级云数据库RDS实例规格解决。具体请参见6。 实例状态异常。比如实例重启卡住，云数据库RDS系统故障，实例或表被锁定等。 解决方法：尝试重启功能。如果无法解决，请联系售后技术支持。 父主题： 数据库连接

用户平时需要关注RDS实例的哪些监控指标 用户需要关注的监控指标有：CPU利用率、内存利用率、磁盘空间利用率。 可以根据实际应用场景配置告警提示，当收到告警，可采取相应措施消除告警。 配置示例： 如果在某段时间内（如5min），CPU的利用率出现多次（如3次）不低于某特定值（如90%）的情况，则发出相应Cloud Eye告警。 如果在某段时间内（如5min），内存的利用率出现多次（如4次）不低于某特定值（如90%）的情况，则发出相应Cloud Eye告警。 如果在某段时间内（如5min），磁盘的使用率出现多次（如5次）不低于某特定值（如85%）的情况，则发出相应Cloud Eye告警。 Cloud Eye告警详细配置方法，请参见《 云监控 用户指南》中“创建告警规则”。 采取措施： 收到与CPU利用率、内存利用率有关的告警，通过实例规格变更分别增大CPU、内存。 请参见变更实例的CPU和内存规格。 收到与磁盘空间利用率有关的告警： 调查磁盘空间消耗，查看是否可以从实例中删除数据或是将数据存档到其他系统以释放空间。 请参见RDS实例磁盘满导致实例异常的解决方法。 通过磁盘空间扩容增大磁盘空间。 请参见扩容磁盘。 父主题： 数据库监控

RDS for SQL Server实例短时间内大量压入数据导致数据盘空间暴增的规避方法 在主备实例中，大量压入数据可能会导致主备实例间来不及同步，从而无法对日志进行截断收缩，最终使得数据盘空间暴增。 方法一 在压入数据时，适当停止一段时间，等待数据的同步。 方法二 将数据库设为Simple模式后再压入数据，但在Simple模式下，主备实例间不会进行同步，不会产生增备，Simple模式下的这段时间内无法进行按时间点恢复（PITR）。等压完数据后，再将数据库设为Full模式，等待复制关系的建立并进行数据同步。具体操作请参见SQL Server如何解除和重建复制关系。 方法三 如果需要将本地数据库迁移至RDS，可以采用DRS备份迁移，将数据库备份恢复至RDS。 父主题： 资源及磁盘管理

RDS是否支持磁盘缩容 RDS for MySQL暂时不支持磁盘缩容。您可以重新创建较低磁盘空间的数据库实例，并通过DRS将数据迁移到该实例。具体请参见实时迁移。 RDS for MariaDB暂时不支持磁盘缩容。您可以重新创建较低磁盘空间的数据库实例，并通过DRS将数据迁移到该实例，具体请参见实时迁移。 RDS for PostgreSQL支持磁盘缩容，详见变更磁盘容量。 RDS for SQL Server暂时不支持磁盘缩容。您可以重新创建较低磁盘空间的数据库实例，并通过DRS将数据迁移到该实例。具体请参见实时迁移。 父主题： 资源及磁盘管理

云数据库 RDS for MySQLRDS for MySQL是否支持多帐号 云数据库 RDS for MySQL支持多账号，用户可以自己使用授权命令给这些账号分配不同的权限以便控制访问不同的表。各个表之间相互独立。 多用户访问表不直接影响性能，多个会话并发访问会增加系统资源开销，请参考关系型数据库性能白皮书中各规格的连接数。 关于更多详细的MySQL权限问题，请参考MySQL官网文档。 父主题： 数据库权限

RDS跨地域内网能访问吗 跨地域内网默认不能访问，不同区域的云服务之间内网互不相通。您可以通过公网访问，或者通过云连接/VPN打通网络实现内网访问。 弹性公网IP：不能通过内网IP地址访问RDS实例时，可以使用公网访问。 对于RDS for MySQL实例，请参见使用MySQL命令行公网连接实例。 对于RDS for MariaDB实例，请参见使用MySQL命令行公网连接实例。 对于RDS for PostgreSQL实例，请参见通过psql命令行公网连接实例。 对于RDS for SQL Server实例，请参见通过公网连接SQL Server实例。 云连接：对于不同区域的VPC，不区分是否同一账号，都可以互连，跨区域连接实现全球云上网络。具体请参见跨区域VPC互连。 虚拟专用网络 VPN：基于Internet使用加密隧道将不同区域的VPC连接起来。具备成本低、配置简单、即开即用等优点。但它的网络质量依赖Internet。具体请参见通过VPN连接VPC。 父主题： 数据库连接

删除RDS实例后为什么不能立即删除关联的安全组 创建实例的时候，必须选择安全组，如果不创建安全组或没有可选的安全组，云数据库RDS服务默认为您分配安全组资源。 当删除实例后，默认会将实例加入回收站管理，回收站默认保留7天。可通过设置回收站策略修改回收站保留天数。 删除后的实例不会立即从安全组中移除，需要等回收站中保留的实例删除后，才会将关联信息从安全组中移除。删除安全组之前，必须确保安全组中没有关联任何实例，查询安全组中关联的实例，请参见如何查看安全组关联了哪些实例。 父主题： 网络安全

其他存储引擎 在MySQL 5.6及以上的版本中，不支持的存储引擎如表1所示： 表1 存储引擎约束限制 引擎 原因 MyISAM引擎 MyISAM引擎表不支持事务，仅支持表级别锁，导致读写操作相互冲突。 MyISAM对数据完整性的保护存在缺陷，且这些缺陷会导致数据库数据的损坏甚至丢失。 MyISAM在出现数据损害情况下，很多都需要手动修复，无法通过产品服务提供的恢复功能进行数据恢复。 MyISAM向InnoDB的迁移透明，大多数情况不需要改动建表的代码，云数据库自动转换InnoDB即可完成迁移。 FEDERATED引擎 主备实例支持FEDERATED引擎会导致在远端数据库上相同DML重复执行，导致数据错乱。 FEDERATED引擎会在时间点恢复场景，当全量恢复完成后，远端数据库上数据不会跟随全量备份恢复到全备时的数据状态，在增量恢复阶段再应用数据会导致FEDERATED表数据错乱。 Memory引擎 如果内存表隐式的变空，那在Open表的时候数据库就会自己产生一个DELETE event到binlog中。这样当HA集群使用了内存表，那么重启HA，备库（或者只读库）就会自己产生一个自己的GTID，导致主备不一致，进而引发备库重建，甚至导致备库会不停的重建。 使用Memory表，会存在OOM的风险，导致服务被终止。

RDS for MySQL开启GTID后有哪些限制 云数据库 RDS for MySQL默认开启GTID且不支持关闭，主备关系的建立等功能均依赖GTID。如果关闭GTID，会对整个RDS的功能（比如备份恢复、主备倒换）受到影响甚至无法运行。 社区版MySQL开启GTID后，如下三种语句执行会报错： 使用select语句建表（create table...select）会报错。 如果在一个事务中同时处理支持事务的引擎（InnoDB）和不支持事务的引擎（MyISAM）会报错。 显式事务中创建临时表（create temporary table）会报错。 为了放开社区版的这些约束，云数据库RDS对MySQL内核进行了改造，以支持这些语句。如果有需要，请升级MySQL内核小版本。 父主题： 产品咨询

RDS for MySQL是否兼容MariaDB MariaDB是MySQL源代码的一个分支，主要由开源社区在维护，采用GPL授权许可。开发这个分支的原因之一是：甲骨文公司收购了MySQL后，有将MySQL闭源的潜在风险，因此社区采用分支的方式来避开这个风险。MariaDB是完全兼容MySQL，包括API和命令行，使之能轻松成为MySQL的代替品。在存储引擎方面，使用XtraDB来代替MySQL的InnoDB，XtraDB完全兼容InnoDB，创建一个InnoDB表内部默认会转换成XtraDB。 MariaDB和MySQL在绝大多数方面是兼容的，对于前端应用（例如PHP、Perl、Python、Java、.NET、MyODBC、Ruby、MySQL C connector）来说，几乎感觉不到任何不同。在一些常见的应用（例如增删改查）中是兼容的，但是如果涉及到MariaDB新特性，两者有不同点，只有通过POC测试才能确保不同点的正确性。 父主题： 产品咨询

未开通公网访问的实例 在虚拟私有云中开通虚拟专用网络（Virtual Private Network，简称VPN），通过虚拟专用网络连接云数据库RDS。 将云数据库RDS与弹性云服务器创建在同一个虚拟专用网络下，通过弹性云服务器来访问云数据库RDS。 具体请参见： 通过内网连接RDS for MySQL实例 通过内网连接RDS for MariaDB实例 通过内网连接RDS for PostgreSQL实例 通过内网连接RDS for SQL Server实例

前提条件 已购买 云桌面 。 已参考云专线服务的《快速入门》或者虚拟专用网络VPN服务的《管理员指南》》进行配置，使企业认证服务器所在的客户数据中心与VPC之间的网络互通。 云桌面已开放随机端口与第三方业务平面对接，如果同时对接了Windows AD，请确保Windows AD与该认证服务器的端口互不冲突。 已获取企业认证服务器的以下数据： 认证服务器域名（可选） 认证服务器IP地址 认证服务器的访问密钥AK 认证服务器的访问密钥SK 认证服务器的PEM或者CER格式的SSL/TLS证书文件

给test用户共享admin账号的index_pattern，Dashboards等信息 一般情况下，新建用户本身并不具备创建index_pattern的权限或者由于业务关系不能够进行数据管理。此时，一般是由admin账号进行index_pattern创建并且管理dashboard等报表信息，然后再将这些信息共享给test用户。 您可以按照以下流程操作： 使用admin账户在Global Tenant中创建index_pattern和Dashboards。 Global Tenant所有的租户都可以直接访问，但是如果部门过多，这种情况体验较差，可以使用以下方法优化： 在“Security”中选择“Tenants”。以admin账户建立以部门为粒度的Tenant，比如test_tenant。 图14 创建Tenants 切换到对应部门test_tenant。 图15 切换test_tenant 在test_tenant下创建本部门需要的index_pattern、Dashboards。 在“Security”中选择“Roles”。单击test用户对应的角色Role1，在Tenant Permissions页签分配test_tenant给Role1。 保存后切换到test用户，test即可访问test_tenant空间内容。

背景信息 云搜索服务 （Cloud Search Service，简称 CSS ）用opendistro_security安全插件对外提供安全集群能力，opendistro_security安全插件是基于RBAC（Role-Based Access Control）模型构建。RBAC包括三个重要核心概念：用户（User）、权限（Action）、角色（Role）。RBAC简化了用户和权限的关系，降低了权限管理的难度，方便权限扩展易于维护。三者之前的关系如下图所示：