数据库安全服务 DBSS-DBSS权限管理:DBSS权限
下载数据库安全服务 DBSS用户手册完整版
DBSS权限
默认情况下,管理员创建的 IAM 用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
DBSS部署时通过物理区域划分,为项目级服务。授权时,“授权范围”需要选择“指定区域项目资源”,然后在指定区域(如华北-北京1)对应的项目(cn-north-1)中设置相关权限,并且该权限仅对此项目生效;如果“授权范围”选择“所有资源”,则该权限在所有区域项目中都生效。访问DBSS时,需要先切换至授权区域。
权限根据授权精细程度分为角色和策略。
- 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
- 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对E CS 服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,权限的最小粒度为API授权项(action),DBSS支持的API授权项请参见策略支持的授权项。
如表1所示,包括了DBSS的所有系统角色。
|
角色名称 |
描述 |
依赖关系 |
|---|---|---|
|
DBSS System Administrator (数据库安全服务系统管理员,拥有操作数据库安全服务系统资源的权限) |
|
进行付费操作(例如,购买DBSS实例、续费)时需要同时具有BSS Administrator角色、VPC Administrator角色和ECS Administrator角色。
|
|
DBSS Audit Administrator (数据库安全服务审计管理员,拥有审核数据库安全服务日志信息的权限) |
|
无 |
|
DBSS Security Administrator (数据库安全服务安全管理员,拥有设置数据库安全服务安全策略的权限) |
|
无 |
表2列出了DBSS常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。
|
子服务 |
操作 |
DBSS System Administrator |
DBSS Audit Administrator |
DBSS Security Administrator |
|---|---|---|---|---|
|
数据库安全审计 |
购买实例 |
√ |
× |
× |
|
开启、关闭、重启实例 |
√ |
× |
× |
|
|
获取实例列表 |
√ |
√ |
√ |
|
|
获取基本信息 |
√ |
√ |
√ |
|
|
获取审计概况 |
√ |
√ |
√ |
|
|
获取监控信息 |
√ |
√ |
√ |
|
|
获取操作日志 |
√ |
√ |
√ |
|
|
数据库管理 |
√ |
× |
× |
|
|
Agent管理 |
√ |
× |
× |
|
|
邮件设置 |
√ |
× |
× |
|
|
备份与恢复 |
√ |
× |
× |
|
|
获取报表结果 |
× |
√ |
√ |
|
|
获取规则信息 |
× |
√ |
√ |
|
|
获取语句信息 |
× |
√ |
√ |
|
|
获取会话信息 |
× |
√ |
√ |
|
|
获取数据库列表 |
√ |
√ |
√ |
|
|
报表管理 |
× |
√ |
√ |
|
|
审计规则设置 |
× |
× |
√ |
|
|
告警通知设置 |
× |
× |
√ |
- GaussDB权限管理_GaussDB数据库权限管理_高斯数据库权限管理_华为云
- 权限管理能力_怎么设置权限_云容器引擎
- 数据库安全服务介绍_数据库安全服务功能特性_数据库安全服务产品优势
- 如何创建用户并授权使用应用运维管理服务_AOM_用户权限_创建用户_权限
- 华为云UCS如何实现权限管理
- API网关权限管理_授权使用API网关_APIG权限策略和授权项
- 数据库安全服务_设置邮件通知_设置告警通知_卸载Agent
- 华为云网站安全期刊第三期_数据安全
- 分布式云原生权限概述_华为云分布式云原生_华为云UCS权限概述
- 数据库安全服务添加数据库_数据库安全服务添加Agent_数据库安全服务添加安全组规则
