如果您需要对的RDS资源,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制资源的访问。
通过IAM,您可以在账号中给员工创建IAM用户,并授权控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员,您希望开发人员拥有RDS的使用权限,但是不希望他们拥有删除RDS等高危操作的权限,那么您可以使用IAM为开发人员创建用户,通过授予仅能使用RDS,但是不允许删除RDS的权限,控制他们对RDS资源的使用范围。
如果账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用RDS服务的其它功能。
IAM是提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。
RDS权限
RDS部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域对应的项目中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问RDS时,需要先切换至授权区域。
根据授权精细程度分为角色和策略。
角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。
如下表所示,包括了RDS的所有系统权限。
表 RDS系统策略
| 策略名称/系统角色 | 描述 | 类别 | 依赖关系 |
|---|---|---|---|
| RDS FullAccess | 关系型数据库服务所有权限。 | 系统策略 | 无。 如果要使用存储空间自动扩容功能,IAM子账号需要添加如下授权项:
|
| RDS ReadOnlyAccess | 关系型数据库服务资源只读权限。 | 系统策略 | 无。 |
| RDS ManageAccess | 关系型数据库服务除删除操作外的DBA权限。 | 系统策略 | 无。 |
| RDS Administrator | 关系型数据库服务管理员。 | 系统角色 | 依赖Tenant Guest和Server Administrator角色,在同项目中勾选依赖的角色。 |
下表列出了RDS常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。
表 常用操作与系统权限的关系
| 操作 | RDS FullAccess | RDS ReadOnlyAccess | RDS ManageAccess | RDS Administrator |
|---|---|---|---|---|
| 创建RDS实例 | √ | x | √ | √ |
| 删除RDS实例 | √ | x | x | √ |
| 查询RDS实例列表 | √ | √ | √ | √ |
表 常用操作与对应授权项
| 操作名称 | 授权项 | 备注 |
|---|---|---|
| 创建数据库实例 | rds:instance:create rds:param:list | 界面选择VPC、子网、安全组需要配置: vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:securityGroupRules:get 创建加密实例需要在项目上配置KMS Administrator权限。 |
| 变更数据库实例的规格 | rds:instance:modifySpec | 无。 |
| 扩容数据库实例的磁盘空间 | rds:instance:extendSpace | 无。 |
| 单机转主备实例 | rds:instance:singleToHa | 若原单实例为加密实例,需要在项目上配置KMS Administrator权限。 |
| 重启数据库实例 | rds:instance:restart | 无。 |
| 删除数据库实例 | rds:instance:delete | 无。 |
| 查询数据库实例列表 | rds:instance:list | 无。 |
| 实例详情 | rds:instance:list | 实例详情界面展示VPC、子网、安全组,需要对应配置vpc:*:get和vpc:*:list。 |
| 修改数据库实例密码 | rds:password:update | 无。 |
| 修改端口 | rds:instance:modifyPort | 无。 |
| 修改内网IP | rds:instance:modifyIp | 界面查询剩余IP列表需要: vpc:subnets:get vpc:ports:get |
| 修改实例名称 | rds:instance:modify | 无。 |
| 修改运维时间窗 | rds:instance:modify | 无。 |
| 手动主备倒换 | rds:instance:switchover | 无。 |
| 修改同步模式 | rds:instance:modifySynchronizeModel | 无。 |
| 切换策略 | rds:instance:modifyStrategy | 无。 |
| 修改实例安全组 | rds:instance:modifySecurityGroup | 无。 |
| 绑定/解绑公网IP | rds:instance:modifyPublicAccess | 界面列出公网IP需要: vpc:publicIps:get vpc:publicIps:list |
| 设置回收站策略 | rds:instance:setRecycleBin | 无。 |
| 查询回收站 | rds:instance:list | 无。 |
| 开启、关闭SSL | rds:instance:modifySSL | 无。 |
| 开启、关闭事件定时器 | rds:instance:modifyEvent | 无。 |
| 读写分离操作 | rds:instance:modifyProxy | 无。 |
| 申请内网域名 | rds:instance:createDns | 无。 |
| 备机可用区迁移 | rds:instance:create | 备机迁移涉及租户子网下的IP操作,若为加密实例,需要在项目上配置KMS Administrator权限。 |
| 表级时间点恢复 | rds:instance:tableRestore | 无。 |
| 透明数据加密(Transparent Data Encryption,TDE)权限 | rds:instance:tde | 仅用于RDS for SQL Server数据库实例。 |
| 修改主机权限 | rds:instance:modifyHost | 无。 |
| 查询对应账号下的主机 | rds:instance:list | 无。 |
| 获取参数模板列表 | rds:param:list | 无。 |
| 创建参数模板 | rds:param:create | 无。 |
| 修改参数模板参数 | rds:param:modify | 无。 |
| 应用参数模板 | rds:param:apply | 无。 |
| 修改指定实例的参数 | rds:param:modify | 无。 |
| 获取指定实例的参数模板 | rds:param:list | 无。 |
| 获取指定参数模板的参数 | rds:param:list | 无。 |
| 删除参数模板 | rds:param:delete | 无。 |
| 重置参数模板 | rds:param:reset | 无。 |
| 对比参数模板 | rds:param:list | 无。 |
| 保存参数模板 | rds:param:save | 无。 |
| 查询参数模板类型 | rds:param:list | 无。 |
| 设置自动备份策略 | rds:instance:modifyBackupPolicy | 无。 |
| 查询自动备份策略 | rds:instance:list | 无。 |
| 创建手动备份 | rds:backup:create | 无。 |
| 获取备份列表 | rds:backup:list | 无。 |
| 获取备份下载链接 | rds:backup:download | 无。 |
| 删除手动备份 | rds:backup:delete | 无。 |
| 复制备份 | rds:backup:create | 无。 |
| 查询可恢复时间段 | rds:instance:list | 无。 |
| 恢复到新实例 | rds:instance:create | 界面选择VPC、子网、安全组需要配置: vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:securityGroupRules:get |
| 恢复到已有或当前实例 | rds:instance:restoreInPlace | 无。 |
| 获取实例Binlog清理策略 | rds:binlog:get | 无。 |
| 合并Binlog文件 | rds:binlog:merge | 无。 |
| 下载Binlog文件 | rds:binlog:download | 无。 |
| 删除Binlog文件 | rds:binlog:delete | 无。 |
| 设置Binlog清理策略 | rds:binlog:setPolicy | 无。 |
| 获取数据库备份文件列表 | rds:backup:list | 无。 |
| 获取历史数据库列表 | rds:backup:list | 无。 |
| 查询数据库错误日志 | rds:log:list | 无。 |
| 查询数据库慢日志 | rds:log:list | 无。 |
| 下载数据库错误日志 | rds:log:download | 无。 |
| 下载数据库慢日志 | rds:log:download | 无。 |
| 开启、关闭审计日志 | rds:auditlog:operate | 无。 |
| 获取审计日志列表 | rds:auditlog:list | 无。 |
| 查询审计日志策略 | rds:auditlog:list | 无。 |
| 生成审计日志下载链接 | rds:auditlog:download | 无。 |
| 获取主备切换日志 | rds:log:list | 无。 |
| 创建数据库 | rds:database:create | 无。 |
| 查询数据库列表 | rds:database:list | 无。 |
| 查询指定用户的已授权数据库 | rds:database:list | 无。 |
| 删除数据库 | rds:database:drop | 无。 |
| 创建数据库账户 | rds:databaseUser:create | 无。 |
| 查询数据库账户列表 | rds:databaseUser:list | 无。 |
| 查询指定数据库的已授权账户 | rds:databaseUser:list | 无。 |
| 删除数据库账户 | rds:databaseUser:drop | 无。 |
| 授权数据库账户 | rds:databasePrivilege:grant | 无。 |
| 解除数据库账户权限 | rds:databasePrivilege:revoke | 无。 |
| 任务中心列表 | rds:task:list | 无。 |
| 删除任务中心任务 | rds:task:delete | 无。 |
