GaussDB-用户角色和权限
GaussDB-用户角色和权限
ManageOne运营面(B2B场景为ManageOne运营管理面)为云服务提供角色管理和访问控制功能。其中角色管理主要体现在对用户组与用户的管理,访问控制主要体现在对用户组和用户的权限管理。
对云数据库 GaussDB服务而言,ManageOne运营面(B2B场景为ManageOne运营管理面)提供的用户权限主要用于管理对云数据库 GaussDB服务资源的访问。对于用户,需要根据具体的云数据库 GaussDB操作权限,设置如表1所示权限的任意一种或多种,才可以拥有操作云数据库 GaussDB资源的权限。
|
角色名称 |
角色来源 |
包含权限 |
描述 |
|---|---|---|---|
|
GaussDB管理员 |
VDC管理员 |
|
拥有该权限的用户可以对云数据库 GaussDB服务的资源执行任意操作。 |
|
VDC业务员 |
|
||
|
自定义 |
|
||
|
|||
|
GaussDB只读用户 |
VDC只读管理员 |
|
拥有该权限的用户可以查询云数据库 GaussDB的资源的利用情况,即仅拥有云数据库 GaussDB读权限。 |
|
自定义 |
|
表2列出了GaussDB常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。
|
操作 |
GaussDB FullAccess |
GaussDB ReadOnlyAccess |
|---|---|---|
|
创建GaussDB实例 |
支持 |
不支持 |
|
删除GaussDB实例 |
支持 |
不支持 |
|
查询GaussDB实例列表 |
支持 |
支持 |
表3列出了GaussDB常用操作以及对应的授权项,您可以参照该表自定义配置权限策略。
|
操作名称 |
授权项 |
备注 |
|---|---|---|
|
创建数据库实例 |
gaussdb:instance:create gaussdb:param:list gaussdb:instance:list |
当用户使用企业项目时,创建实例需要配置: VPC Administrator 当用户不使用企业项目时,创建实例需要可以配置: Tenant Guest vpc:ports:update vpc:ports:create vpc:subnets:create 使用KMS 透明加密功能,需要配置: KMS Administrator |
|
重启数据库实例 |
gaussdb:instance:restart gaussdb:instance:list |
无 |
|
删除数据库实例 |
gaussdb:instance:delete gaussdb:instance:list |
删除端口需要配置资源空间权限: VPC Administrator |
|
查询数据库实例列表 |
gaussdb:instance:list |
无 |
|
实例详情 |
gaussdb:instance:list |
当用户使用企业项目时,实例详情界面展示VPC、子网、安全组,需要配置: VPC Administrator 当用户不使用企业项目时,实例详情界面展示VPC、子网、安全组,需要配置: Tenant Guest |
|
回收站 |
gaussdb:instance:list |
无 |
|
修改实例名称 |
gaussdb:instance:modify gaussdb:instance:list |
无 |
|
查询实例参数详情 |
gaussdb:param:list |
无 |
|
创建参数模板 |
gaussdb:param:create gaussdb:param:list |
无 |
|
修改参数模板 |
gaussdb:param:modify gaussdb:param:list |
无 |
|
获取参数模板列表 |
gaussdb:param:list |
无 |
|
应用参数模板 |
gaussdb:param:apply gaussdb:param:list gaussdb:instance:list |
无 |
|
删除参数模板 |
gaussdb:param:delete gaussdb:param:list |
无 |
|
创建手动备份 |
gaussdb:backup:create gaussdb:backup:list |
无 |
|
删除手动备份 |
gaussdb:backup:delete gaussdb:backup:list |
无 |
|
获取备份列表 |
gaussdb:backup:list gaussdb:instance:list |
无 |
|
获取差量备份列表 |
gaussdb:backup:list gaussdb:instance:list |
无 |
|
修改备份策略 |
gaussdb:instance:modifyBackupPolicy gaussdb:instance:list |
无 |
|
创建表级备份 |
gaussdb:instance:list gaussdb:backup:list gaussdb:backup:create |
无 |
|
设置回收站策略 |
gaussdb:instance:setRecyclePolicy gaussdb:instance:list |
无 |
|
查询可恢复时间段 |
gaussdb:instance:list |
无 |
|
恢复到新实例 |
gaussdb:instance:create gaussdb:backup:list gaussdb:instance:list gaussdb:param:list |
当用户使用企业项目时,创建实例需要配置: VPC Administrator 当用户不使用企业项目时,创建实例需要可以配置: Tenant Guest vpc:ports:update vpc:ports:create vpc:subnets:create 使用KMS 透明加密功能,需要配置: KMS Administrator |
|
恢复到当前实例 |
gaussdb:instance:restoreInPlace gaussdb:instance:list gaussdb:backup:list gaussdb:backup:create |
无 |
|
安装三方备份SSL证书 |
gaussdb:backup:create |
无 |
|
授权备份文件下载 |
gaussdb:instance:list gaussdb:backup:list gaussdb:backup:authorizeDownload |
无 |
|
停止备份 |
gaussdb:instance:list gaussdb:backup:stopBackup |
无 |
|
磁盘扩容 |
gaussdb:instance:modifySpec gaussdb:instance:list |
无 |
|
规格变更 |
gaussdb:instance:modifySpec gaussdb:instance:list |
界面选择VPC、子网、安全组需要配置: Tenant Guest vpc:ports:update vpc:ports:create 使用KMS 透明加密功能,需要配置: KMS Administrator |
|
扩容实例 |
gaussdb:instance:modifySpec gaussdb:instance:list |
界面选择VPC、子网、安全组需要配置: Tenant Guest vpc:ports:update vpc:ports:create 使用KMS 透明加密功能,需要配置: KMS Administrator |
|
分片切换 |
gaussdb:instance:list gaussdb:instance:switchShard |
无 |
|
版本升级 |
gaussdb:instance:list gaussdb:instance:modify gaussdb:instance:upgradeDatabaseVersion |
无 |
|
重置密码 |
gaussdb:instance:modify gaussdb:instance:list |
无 |
|
日志分析 |
gaussdb:instance:list gaussdb:instance:operateErrorLog gaussdb:instance:operateSlowLog |
无 |
|
日志下载 |
gaussdb:instance:list |
无 |
|
导出实例 |
gaussdb:instance:list |
无 |
|
停止实例 |
gaussdb:instance:list gaussdb:instance:stop |
无 |
|
启动实例 |
gaussdb:instance:list gaussdb:instance:start |
无 |
|
节点修复 |
gaussdb:instance:list gaussdb:instance:repairNode |
无 |
|
节点替换 |
gaussdb:instance:list gaussdb:instance:replaceNode |
当用户使用企业项目时,节点替换需要配置: VPC Administrator 当用户不使用企业项目时,节点替换需要可以配置: Tenant Guest VPC Administrator
使用KMS 透明加密功能,需要配置: KMS Administrator |
|
标签管理 |
gaussdb:instance:list gaussdb:instance:dealTag |
无 |
|
驱动下载 |
gaussdb:instance:list |
无 |
|
切换实例透明加密 |
gaussdb:instance:switchKmsTde gaussdb:instance:list |
使用KMS 透明加密功能,需要配置: KMS Administrator |
|
查询实例扩展信息 |
gaussdb:instance:list |
无 |
|
设置实例扩展信息 |
gaussdb:instance:setInstanceExtendInfo gaussdb:instance:list |
界面选择VPC需要配置: VPC Administrator |
|
获取任务信息 |
gaussdb:instance:list |
无 |
|
WDR报告 |
gaussdb:instance:list gaussdb:instance:listWdrSnapshot gaussdb:instance:operateWdrSnapshot |
无 |
|
ASP报告 |
gaussdb:instance:list gaussdb:instance:listAspReport gaussdb:instance:operateAspReport |
无 |
|
获取实时会话 |
gaussdb:instance:listRealTimeSession gaussdb:instance:list |
无 |
|
结束会话 |
gaussdb:instance:listRealTimeSession gaussdb:instance:killSession gaussdb:instance:list |
无 |
|
结束空闲会话 |
gaussdb:instance:listRealTimeSession gaussdb:instance:killFreeSession gaussdb:instance:list |
无 |
|
查看总览 |
gaussdb:alarm:list gaussdb:disasterRecovery:list gaussdb:instance:listAbnormityDiagnosis |
无 |
|
开启全量SQL |
gaussdb:instance:list gaussdb:instance:operateFullSql gaussdb:instance:listFullSql |
无 |
|
全链路分析 |
gaussdb:instance:list gaussdb:instance:listSqlLink gaussdb:instance:listFullSql |
依赖于全量SQL功能开启,从全量SQL列表跳转全链路功能 |
|
SQL限流 |
gaussdb:instance:list gaussdb:instance:listFlowlimit gaussdb:instance:flowlimitAddOrUpdate gaussdb:instance:flowlimitDelete |
从慢SQL、TOP SQL快捷入口,增加权限 gaussdb:instance:listSlowSqlExecuteNode gaussdb:instance:listSlowSql gaussdb:instance:listTopSql |
|
设置SQL的Patch语句 |
gaussdb:instance:listSlowSqlExecuteNode gaussdb:instance:listSlowSql gaussdb:instance:list gaussdb:instance:getSqlPatch gaussdb:instance:operateSqlPatch gaussdb:instance:flowlimitDelete |
从SQL视图-慢SQL列表的快捷入口进入,依赖以下权限: gaussdb:instance:listSlowSqlExecuteNode gaussdb:instance:listSlowSql |
|
执行计划绑定 |
gaussdb:instance:listSlowSqlExecuteNode gaussdb:instance:listSlowSql gaussdb:instance:list gaussdb:sqlPlan:getList gaussdb:sqlPlan:update |
从SQL视图-慢SQL列表的快捷入口进入,依赖以下权限: gaussdb:instance:listSlowSqlExecuteNode gaussdb:instance:listSlowSql |
|
管理巡检任务 |
gaussdb:instance:list gaussdb:instance:getInspection gaussdb:instance:createInspection gaussdb:instance:deleteInspectionRecord gaussdb:instance:batchDeleteInspection gaussdb:instance:modifyInspection |
无 |
|
下发巡检任务 |
gaussdb:instance:list gaussdb:sqlPlan:getList gaussdb:instance:startInspection |
无 |
|
查看日志分析指标 |
gaussdb:instance:list gaussdb:instance:listLogAnalysis |
无 |
|
查看性能指标 |
gaussdb:instance:list gaussdb:instance:listMetric |
无 |
|
异常诊断 |
gaussdb:instance:list gaussdb:instance:listAbnormityDiagnosis gaussdb:instance:operateAbnormityDiagnosis gaussdb:instance:listSlowSqlExecuteNode gaussdb:instance:getInspection |
当需要查看健康报告时,需要配置:gaussdb:instance:getInspection 当需要查看慢sql时,需要配置:gaussdb:instance:listSlowSqlExecuteNode |
|
绑定/解绑公网IP
|
gaussdb:instance:bindPublicIp gaussdb:instance:unbindPublicIp |
界面列出公网IP需要配置: vpc:publicIps:get vpc:publicIps:list |
|
创建DBMind实例 |
gaussdb:instance:create |
当用户使用企业项目时,创建实例需要配置: VPC Administrator 当用户不使用企业项目时,创建实例需要可以配置: Tenant Guest vpc:ports:update vpc:ports:create vpc:subnets:create |
|
DBMind纳管 |
gaussdb:instance:dbmindManage gaussdb:instance:list |
无 |
|
DBMind再次纳管 |
gaussdb:instance:dbmindManage gaussdb:instance:list |
无 |
|
DBMind解除纳管 |
gaussdb:instance:dbmindManage gaussdb:instance:list |
无 |
|
查询DBMind实例列表 |
gaussdb:instance:list |
无 |
|
查询可纳管实例列表 |
gaussdb:instance:list |
无 |
|
查询已纳管实例列表 |
gaussdb:instance:list |
无 |
|
删除DBMind实例 |
gaussdb:instance:delete |
无 |
|
DBMind磁盘扩容 |
gaussdb:instance:modifySpec gaussdb:instance:list |
无 |
|
DBMind规格变更 |
gaussdb:instance:modifySpec gaussdb:instance:list |
无 |
|
查询事务列表 |
gaussdb:instance:list gaussdb:instance:listTransaction |
无 |
|
手动查杀事务 |
gaussdb:instance:listTransaction gaussdb:instance:killTransaction gaussdb:instance:list |
无 |
|
设置实例自动查杀事务配置 |
gaussdb:instance:autoKillConfig gaussdb:instance:list gaussdb:instance:getAutoKillConfig |
无 |
|
获取实例自动查杀事务配置 |
gaussdb:instance:getAutoKillConfig gaussdb:instance:list |
无 |
|
开启M兼容端口服务 |
gaussdb:instance:startMySQLCompatibility gaussdb:instance:list |
无 |
|
修改/关闭M兼容端口服务 |
gaussdb:instance:updateMySQLCompatibility gaussdb:instance:list |
无 |
|
操作名称 |
授权项 |
备注 |
|---|---|---|
|
查询可搭建容灾实例列表 |
gaussdb:disasterRecovery:list gaussdb:instance:list |
需要开启特性白名单gaussdb_feature_supportDisasterApiGlobal。 需要配置:Tenant Guest |
|
容灾操作校验 |
gaussdb:disasterRecovery:list gaussdb:instance:list |
需要开启特性白名单gaussdb_feature_supportDisasterApiGlobal。 需要配置:Tenant Guest |
|
查询实例容灾监控实时状态 |
gaussdb:disasterRecovery:list gaussdb:instance:list |
需要开启特性白名单gaussdb_feature_supportDisasterApiGlobal。 需要配置:Tenant Guest 跨云场景,需要额外开启特性白名单:gaussdb_feature_supportCrossCloudDr |
|
查询容灾关系列表 |
gaussdb:disasterRecovery:list gaussdb:instance:list |
需要开启特性白名单gaussdb_feature_supportDisasterApiGlobal。 需要配置:Tenant Guest 跨云场景,需要额外开启特性白名单:gaussdb_feature_supportCrossCloudDr |
|
重置容灾关系 |
gaussdb:disasterRecovery:construct |
跨云场景,需要配置:VDC管理员或委托权限用户 |
|
搭建容灾关系 |
gaussdb:disasterRecovery:construct gaussdb:disasterRecovery:list gaussdb:instance:list |
需要开启特性白名单gaussdb_feature_supportDisasterApiGlobal。 需要配置:Tenant Guest 跨云场景,需要额外开启特性白名单:gaussdb_feature_supportCrossCloudDr 跨云场景,需要配置:VDC管理员或委托权限用户 两地三中心场景,需要额外开启特性白名单:gaussdb_feature_supportMultiRegionDR |
|
备实例容灾升主 |
gaussdb:disasterRecovery:failover gaussdb:disasterRecovery:list gaussdb:instance:list |
需要开启特性白名单gaussdb_feature_supportDisasterApiGlobal。 需要配置:Tenant Guest 跨云场景,需要额外开启特性白名单:gaussdb_feature_supportCrossCloudDr |
|
解除容灾关系 |
gaussdb:disasterRecovery:release gaussdb:disasterRecovery:list gaussdb:instance:list |
需要开启特性白名单gaussdb_feature_supportDisasterApiGlobal。 需要配置:Tenant Guest 跨云场景,需要额外开启特性白名单:gaussdb_feature_supportCrossCloudDr |
|
灾备实例主从切换 |
gaussdb:disasterRecovery:switchover gaussdb:disasterRecovery:list gaussdb:instance:list |
需要开启特性白名单gaussdb_feature_supportDisasterApiGlobal。 需要配置:Tenant Guest 跨云场景,需要额外开启特性白名单:gaussdb_feature_supportCrossCloudDr |
|
容灾回切 |
gaussdb:disasterRecovery:construct gaussdb:disasterRecovery:list gaussdb:instance:list |
需要开启特性白名单gaussdb_feature_supportDisasterApiGlobal。 需要配置:Tenant Guest 跨云场景,需要额外开启特性白名单:gaussdb_feature_supportCrossCloudDr |
|
容灾演练 |
gaussdb:disasterRecovery:simulation gaussdb:disasterRecovery:list gaussdb:instance:list |
需要开启特性白名单gaussdb_feature_supportDisasterApiGlobal、 gaussdb_feature_supportDrSimulation。 需要配置:Tenant Guest 跨云场景,需要额外开启特性白名单:gaussdb_feature_supportCrossCloudDr |
|
容灾日志保持 |
gaussdb:disasterRecovery:keeplog gaussdb:disasterRecovery:list gaussdb:instance:list |
需要开启特性白名单 gaussdb_feature_supportDrLogKeep。 需要配置:Tenant Guest 跨云场景,需要额外开启特性白名单:gaussdb_feature_supportCrossCloudDr |
容灾操作场景需要在灾备集群所在云均配置对应权限和授权项,才能做容灾相关操作。
|
操作名称 |
授权项 |
备注 |
|---|---|---|
|
创建数据库 |
gaussdb:instance:createDatabase |
无 |
|
创建数据库用户 |
gaussdb:instance:createDatabaseUser |
无 |
|
创建数据库SCHEMA |
gaussdb:instance:createDatabaseSchema |
无 |
|
授权数据库账号 |
gaussdb:instance:grantDatabasePrivilege |
无 |
|
重置数据库账号密码 |
gaussdb:instance:modifyDatabasePasswd |
无 |
|
查询数据库列表 |
gaussdb:instance:list |
无 |
|
查询数据库用户列表 |
gaussdb:instance:list |
无 |
|
查询数据库SCHEMA列表 |
gaussdb:instance:list |
无 |
创建自定义用户组并授权
- 使用浏览器,以VDC管理员账号登录ManageOne。
非B2B场景登录地址:https://ManageOne运营面的访问地址。例如,https://console.demo.com。
B2B场景登录地址:https://ManageOne租户面的访问地址。例如,https://tenant.demo.com。
- 选择“组织 > VDC管理”,在“VDC管理”页面下选择目标VDC用户,单击VDC名称进入概览页面。
![]()
- 选择“用户组 > 创建”。
![]()
- 在弹框中选择所属VDC和用户组类型,输入用户组名称及描述,单击“确定”完成创建。
- 用户组类型:选择“自定义”。
- 用户组名称:不能以数字开头。只能由英文字母、中文、数字、中划线、下划线组成,且不能命名为admin、power_user或guest。长度范围是1到64位。
- 描述:对于用户组的描述,非必填项。长度范围是0到255位。
- 创建完成后,选择操作列“添加授权”,进入授权页面。
![]()
- 在授权页面,先选择授权对象后,单击“下一步”。
- 选择需要授予权限的权限策略(可选系统策略或用户自定义策略),单击“确定”完成授权。
自定义策略
服务内置多种操作控制,可以进行部分操作的允许和拒绝设定,并将策略应用到用户组。
- 使用浏览器,以运营管理员账号登录ManageOne。
非B2B场景登录地址:https://ManageOne运营面的访问地址。例如,https://console.demo.com。
B2B场景登录地址:https://ManageOne管理面的访问地址。例如,https://tenant.demo.com。
- 选择“组织 > 角色管理”,进入角色管理页面。
- 单击页面左上角“创建”。
图1 角色管理
![]()
- 在“创建角色”页面设置相关参数,单击“确定”完成自定义策略的创建。
表6 创建自定义策略 参数
说明
名称
系统会预制策略名称,且可修改,例如:policy-GaussDB。
所属租户
选择所属的租户。
作用范围
选择资源空间服务:资源空间服务指按区域部署并提供资源的服务。
描述
用户对自定义策略的描述(可选)。
授权配置
- 授权业务域:选择“云服务”。
- 授权平台:选择“华为云Stack”的“云数据库GaussDB(GaussDB)”。
- 权限过滤:支持选择不同类别的操作权限。
- 操作权限:可选“允许”和“拒绝”,为选择的云服务选择具体的操作权限。
浙公网安备 33010602011771号