检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
数据库访问实现权限分层 GaussDB(DWS)中可以使用Database和Schema实现业务的隔离,区别在于: Database之间无法直接互访,通过连接隔离实现彻底的权限隔离。各个Database之间共享资源极少,可实现连接隔离、权限隔离等。 Schema隔离的方式共用资源
使用KMS对GaussDB(DWS)集群进行加密 数据库加密简介 轮转加密密钥 转加密集群 父主题: GaussDB(DWS)集群数据安全与加密
转加密集群 GaussDB(DWS)支持在控制台对未加密的集群,在集群状态为“可用”的情况下转为加密集群。为了保障数据的安全,由于转加密集群是不可逆的高危操作,会重启集群,可能会导致有业务短暂不可用,用户请谨慎操作。 如果当前控制台界面不支持该功能,请联系技术支持人员。 创建KMS委托
的GUC参数控制,参见下表(详细内容也可参考安全和认证(postgresql.conf)): 表1 自定义密码策略及对应GUC参数 密码策略 对应参数名称 参数描述 参数取值范围 GaussDB(DWS)默认值 是否进行密码复杂度检查 password_policy 创建或者修改
弹性云服务器是否与集群在相同可用分区、虚拟私有云、子网和安全组。 安全组的出入规则是否正确。 如果是在互联网环境无法连接,还需要检查以下可能导致异常的原因: 用户网络是否与互联网可以正常连通。 用户网络防火墙策略是否限制了访问。 用户网络是否需要通过代理才能访问互联网。 联系服务人员
执行自定义数据库脚本 执行数据库自定义脚本是为了支持目标数据库某些版本中不存在的关键字。这些脚本在迁移之前需在目标数据库中执行一次。 DSC/scripts目录中的自定义脚本如表1所示。有关如何执行自定义脚本的详细信息,请参见配置自定义数据库脚本。 表1 自定义数据库脚本 自定义脚本 说明
自定义GaussDB(DWS)密码策略 GaussDB(DWS)数据库权限管理 GaussDB(DWS)三权分立 父主题: GaussDB(DWS)数据库安全管理
功能 help命令用于提供DSC支持的命令相关的帮助信息。 命令格式 Linux操作系统: ./runDSC.sh --help Windows操作系统: runDSC.bat --help 命令示例 Linux操作系统: ./runDSC.sh --help Windows操作系统:
gds_uninstall是用于批量卸载GDS的脚本工具。 注意事项 执行脚本前需设置环境变量,可参考《开发指南》中“导入数据>通过外表并行导入>安装配置和启动GDS”章节。 脚本需要在python 3环境下运行。 必须在root用户下执行脚本gds_uninstall。 必须包含--host、-U参数。
GaussDB(DWS)行级访问控制 GaussDB(DWS)数据脱敏 GaussDB(DWS)字符串加解密 父主题: GaussDB(DWS)数据库安全管理
当用户选择切换到GaussDB(DWS)数据库后可能会面临数据库的迁移任务,数据库迁移包括用户数据迁移、sql脚本迁移以及迁移之后数据校对工作,其中,数据校对是保障数据库迁移完备的重要环节。 DataCheck是一款运行在Linux或Windows操作系统上的命令行工具,致力于向用户提供简单、快速、可靠的数据校
准备工作 在迁移之前必须先创建输入文件夹和输出文件夹,并将待迁移的所有SQL脚本复制到输入文件夹中。Linux系统操作如下: 创建输入和输出文件夹。您可以根据用户的首选项在任意位置创建文件夹。用户也可以使用默认的文件夹作为输入、输出,作为包的一部分提供。 1 2 mkdir input
Version命令迁移 功能 Version命令用于显示DSC版本号。 命令格式 Linux: ./runDSC.sh --version Windows: runDSC.bat --version 使用指南 Linux: ./runDSC.sh --version Windows: runDSC
Convertor),是一款运行在Linux或Windows操作系统上的命令行工具,用于将Teradata或Oracle数据库中的sql脚本迁移为适用于GaussDB(DWS)的sql脚本,便于在GaussDB(DWS)中重建数据库。DSC工具是运行在Linux操作系统的命令行工具,解压软件包免安装即可使用。
理中,为了避免系统管理员拥有过度集中的权利带来高风险,可以设置三权分立,将系统管理员的权限分立给安全管理员和审计管理员。 三权分立后,系统管理员将不再具有CREATEROLE属性(安全管理员)和AUDITADMIN属性(审计管理员)能力。即不再拥有创建角色和用户的权限,并不再拥有
理中,为了避免系统管理员拥有过度集中的权利带来高风险,可以设置三权分立,将系统管理员的权限分立给安全管理员和审计管理员。 三权分立后,系统管理员将不再具有CREATEROLE属性(安全管理员)和AUDITADMIN属性(审计管理员)能力。即不再拥有创建角色和用户的权限,并不再拥有
具有系统级ANALYZE权限类似系统管理员用户,跳过schema权限检查,对所有的表可以执行ANALYZE。 gs_role_vacuum_any 具有系统级VACUUM权限类似系统管理员用户,跳过schema权限检查,对所有的表可以执行VACUUM。 gs_redaction_policy
自定义GaussDB(DWS)密码策略 GaussDB(DWS)数据库权限管理 GaussDB(DWS)三权分立 父主题: GaussDB(DWS)数据库安全管理
轮转加密密钥 在创建集群时,如果您在“高级配置”中为集群启用了“加密数据库”的功能,在集群创建成功后,您可以为集群轮转加密密钥。当普通集群转为加密集群时,也可以为集群轮转加密密钥。每执行一次密钥轮转,就更新一次集群加密密钥(CEK)。执行密钥轮转时,集群仍处于“可用”状态。 为GaussDB(DWS)集群轮转加密密钥
Masking)功能。针对某些敏感信息(如身份证号、手机号、银行卡号等),通过应用脱敏函数进行原始数据的变形改写,实现敏感隐私数据的可靠保护,从而增强产品在数据安全和隐私保护方面的能力。 创建表的数据脱敏策略 GaussDB(DWS)通过使用CREATE REDACTION POLICY语法在表上创建
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
