数据传输服务DTS已对接天翼云统一身份认证服务(IAM),可实现控制台功能、OpenAPI维度对用户访问、操作资源的权限控制等, 以达到用户权限的精细管理,保证访问的安全性。
IAM简介
统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务,用户可申请开通后免费使用,您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见:统一身份认证。
IAM涉及主要概念
主用户 :用户在天翼云注册后自动创建,该用户对其所拥有的资源具有完全的访问权限,可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源,为了确保账号安全,建议创建子用户来进行日常管理工作。
子用户 :由拥有IAM权限的用户,在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台,登录入口与主用户相同,受赋予的权限限制。
用户组 :用户组是用户的集合,IAM通过用户组功能实现用户的授权。您创建的IAM用户,需要加入特定用户组后,才具备对应的权限,否则IAM用户无法访问您帐号中的任何资源或者云服务。
系统策略 :由产品团队维护,系统预置的常用权限集,主要针对不同云服务的只读权限或管理员权限,比如对DTS的只读权限、对 DTS的管理员权限等;系统策略在IAM控制台中只能用于授权,不能编辑和修改。
自定义策略 :由用户自己在IAM控制台创建和管理的权限集,是用户可以自由定义的权限,是对系统策略的扩展和补充。
企业项目 :企业项目权限是实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理,通过企业项目将云资源、带有权限的用户组绑定到一起,用户使用企业项目内云资源的权限受用户组的授权限制。
DTS系统策略
DTS默认提供三种系统策略供用户选择,策略仅包括数据库管理控制台相关功能权限及OpenAPI权限。DTS的三种默认策略分别是管理员策略(DTS-admin),使用者策略(DTS-user),浏览者策略(DTS-viewer),三种策略的权限模型具体如下:
| 功能模块 | 权限名称 | DTS-admin | DTS-user | DTS-viewer |
|---|---|---|---|---|
| 能力管理 | 获取特定用户的能力信息表 | Y | Y | |
| 告警管理 | 获取告警规则详情 | Y | Y | Y |
| 告警管理 | 添加告警规则 | Y | Y | |
| 告警管理 | 修改告警规则 | Y | Y | |
| 告警管理 | 查询所有告警项 | Y | Y | Y |
| 告警管理 | 查询告警列表 | Y | Y | Y |
| 告警管理 | 删除告警规则 | Y | Y | |
| 任务管理 | 获取源库中的位点信息 | Y | Y | Y |
| 任务管理 | 获取预检查项 | Y | Y | Y |
| 任务管理 | 进行预检查 | Y | Y | Y |
| 任务管理 | 获取特定表的列信息 | Y | Y | Y |
| 任务管理 | 获取结构详情 | Y | Y | Y |
| 任务管理 | 获取全量详情 | Y | Y | Y |
| 任务管理 | 获取增量详情 | Y | Y | Y |
| 任务管理 | 结构迁移状态 | Y | Y | Y |
| 任务管理 | 全量迁移状态 | Y | Y | Y |
| 任务管理 | 全量迁移状态 | Y | Y | Y |
| 任务管理 | 增量状态 | Y | Y | Y |
| 任务管理 | 判断是否满足一键切换条件 | Y | Y | Y |
| 任务管理 | 一键切换任务 | Y | Y | |
| 任务管理 | 判断是否已执行一键切换 | Y | Y | Y |
| 任务管理 | 获取任务详情 | Y | Y | Y |
| 任务管理 | 校验SQL语句 | Y | Y | |
| 任务管理 | 通过id获取dataMediaPair | Y | Y | Y |
| 任务管理 | 获取源库中存在的schema信息 | Y | Y | Y |
| 任务管理 | 获取某个schema下的迁移对象 | Y | Y | Y |
| 任务管理 | 检查数据库连通性 | Y | Y | Y |
| 任务管理 | 获取实例列表信息 | Y | Y | Y |
| 任务管理 | 获取实例详情 | Y | Y | Y |
| 监控管理 | 全量传输性能监控接口 | Y | Y | Y |
| 监控管理 | 增量传输性能监控接口 | Y | Y | Y |
| 监控管理 | 获取全量开始结束时间 | Y | Y | Y |
| 监控管理 | 获取增量开始结束时间 | Y | Y | Y |
| 许可证管理 | 核查许可证是否过期 | Y | Y | Y |
| 任务管理 | 错误日志详情信息 | Y | Y | Y |
| 任务管理 | 错误日志列表 | Y | Y | Y |
| 机器管理 | 获取所有机器 | Y | Y | Y |
| 机器管理 | 获取通过id单台机器 | Y | Y | Y |
| 机器管理 | 新增机器 | Y | Y | |
| 机器管理 | 添加时测试机器信息是否准确 | Y | Y | Y |
| 环境管理 | 添加时检查java版本 | Y | Y | Y |
| 环境管理 | 检查能否连接到zookeeper | Y | Y | Y |
| 环境管理 | 部署Node | Y | Y | |
| 任务管理 | 获取操作日志列表 | Y | Y | Y |
| 任务管理 | 存储前端数据 | Y | Y | |
| 任务管理 | 编辑前端数据 | Y | Y | |
| 任务管理 | 查看前端数据 | Y | Y | Y |
| 任务管理 | 获取pipeline信息 | Y | Y | Y |
| 任务管理 | 插入数据 | Y | Y | |
| 任务管理 | 编辑数据 | Y | Y | |
| 任务管理 | 数据库修改密码 | Y | Y | |
| 任务管理 | 启动任务 | Y | Y | |
| 任务管理 | 任务列表 | Y | Y | Y |
| 任务管理 | 任务详情 | Y | Y | Y |
| 任务管理 | 任务筛选 | Y | Y | Y |
| 任务管理 | 批量启停任务 | Y | Y | |
| 任务管理 | 数据稽查 对象级 | Y | Y | Y |
| 任务管理 | 对象级迁移数据对比 | Y | Y | Y |
| 任务管理 | 数据稽查 数据级 | Y | Y | Y |
| 任务管理 | 内容对比列表 | Y | Y | Y |
| 任务管理 | 内容稽核任务概要信息查询 | Y | Y | Y |
| 任务管理 | 内容稽核任务中不一致的chunk对的详细结果查询 | Y | Y | Y |
| 任务管理 | 内容稽核任务获取未检查表信息 | Y | Y | Y |
| 任务管理 | 开始内容对比任务 | Y | Y | |
| 任务管理 | 执行数据稽查 | Y | Y | |
| 任务管理 | 获取数据级对比任务详情 | Y | Y | Y |
| 任务管理 | 数据级迁移数据对比 | Y | Y | |
| 任务管理 | 根据任务类型查询任务列表 | Y | Y | Y |
| 任务管理 | 校检日志位点信息 | Y | Y | Y |
| 任务管理 | 获取任务配置参数 | Y | Y | Y |
| 任务管理 | 修复任务配置参数 | Y | Y | |
| 任务管理 | 获取数据修正详情 | Y | Y | Y |
| 任务管理 | 执行数据修正 | Y | Y | |
| 标签管理 | 绑定标签 | Y | Y | |
| 标签管理 | 解绑标签 | Y | Y | |
| 标签管理 | 删除标签 | Y | Y | |
| 任务管理 | 获取任务时间线 | Y | Y | Y |
| 资源管理 | 文件上传 | Y | Y | |
| 用户管理 | 用户登录 | Y | Y | Y |
| 用户管理 | 用户退出 | Y | Y | Y |
| 资源管理 | 获取控制台版本 | Y | Y | Y |
| OpenAPI | 配置任务 | Y | Y | |
| OpenAPI | 启动任务 | Y | Y | |
| OpenAPI | 查询任务详情 | Y | Y | Y |
| OpenAPI | 查询任务列表及各任务执行详情 | Y | Y | Y |
| OpenAPI | 查询任务的子任务执行详情 | Y | Y | Y |
| OpenAPI | 暂停任务 | Y | Y | |
| OpenAPI | 结束任务 | Y | Y | |
| OpenAPI | 释放任务 | Y | Y | |
| OpenAPI | 修改任务源或目标库的账号密码 | Y | Y | |
| OpenAPI | 修改任务名称 | Y | Y | |
| OpenAPI | 查询所有的告警项 | Y | Y | Y |
| OpenAPI | 创建告警规则 | Y | Y | |
| OpenAPI | 修改告警规则 | Y | Y | |
| OpenAPI | 查询告警规则列表 | Y | Y | Y |
| OpenAPI | 创建标签 | Y | Y | |
| OpenAPI | 查询标签 | Y | Y | Y |
| OpenAPI | 解绑标签 | Y | Y | |
| OpenAPI | 查询实例的所有标签 | Y | Y | Y |
| OpenAPI | 查询标签键对应的所有值 | Y | Y | Y |
说明
DTS默认提供三种系统策略供用户选择;
除默认的系统策略外,用户可在IAM的“策略管理”中创建自定义策略,实现更加灵活的权限控制。
IAM入口及操作简介
天翼云官网首页右上角点击登录账号名旁的向下展开按钮,点击“账号中心”,进入账号中心界面。
在左侧导航栏点击“统一身份认证”,进入统一身份认证IAM管理页面。
左侧导航栏分别包含“概览”、"用户"、“用户组”、“授权管理”、“策略管理”、“企业项目”等,用户根据需要进行资源的权限控制。
请参考概览页面“入门引导”部分的内容进行用户、用户组、委托、策略、授权等相关管理操作,完成权限控制的配置。
操作步骤
创建子帐号以及为该子帐号授权相关企业项目的步骤总体分为:
创建子账号并加入用户组;
为用户组进行授权(分为开放个别企业项目权限和开放所有企业项目权限)。
创建子账号并加入用户组
为主帐号添加子帐号以及将子帐号加入到用户组,步骤如下:
进入天翼云官网,通过主账号登录,登入后,点击登录账号名旁的向下展开按钮,点击“账号中心”,进入账号中心。
在左侧导航栏点击“统一身份认证”,进入统一身份认证(IAM)管理页面。
在左侧导航栏选择“用户”页签,点击右上角创建用户。
填写子账号的相关信息,包含用户名、邮箱、手机号等,并设置密码。设置完成点击右下角下一步。
如无用户组请先创建用户组,如有可点击添加,添加进该用户组之后,会自动显示在右侧“已选用户组”窗口。如后续从用户组删除该用户,可点击移除。
admin用户组为拥有所有操作权限的用户组,您可根据需要加入此用户组或者加入自定义创建的用户组。
加入用户组后,点击右下角下一步,将会显示创建成功。点击返回用户列表,可以看到创建的子账号。
如何自定义用户组
一般来讲,为使得不同的团队对实例的操作权限有所不同,主账号会创建团队级别的用户组,方便集中管理具备相同权限的子用户。以下说明如何创建用户组和为不同用户组授予不同权限。
在IAM页面选择左侧“用户组”页签,可以看到当前所拥有的用户组。
点击右上角“创建用户组”,填写相关信息,点击确定后,新用户组创建完毕。
选择想要添加用户的用户组,点击右侧“用户组管理”,可以将子账号添加进该用户组。
此时您已完成自定义用户组的创建。
说明
其中admin用户组是具备所有权限的用户组,添加进此用户组的用户,具备对所有实例的所有权限。
为子帐号开放个别企业项目权限
创建子账号,并将该子帐号加入到一个用户组后,可以为该用户组放开个别企业项目权限。步骤如下:
选择左侧导航栏“企业项目”页签,可以看到默认的企业项目以及您创建的其他企业项目,您也可以点击右上角新创建一个企业项目。选择您希望为该用户组子帐号开放的企业项目,点击右侧的查看用户组。
点击设置用户组,并选择可选的用户组,点击右箭头移动至右侧窗口,并点击确认。此步骤表明将此用户组与该企业项目相关联。
在自定义的用户组右侧选择设置策略,可以搜索DTS相关的策略,点击右移箭头移动至右侧窗口,并点击确认。确认后会提示操作成功,该步骤是为用户组的用户设置权限策略。
说明
DTS相关策略中,可以通过“DTS”关键词搜索到DTS-admin、DTS-user、DTS-viewer三种权限,请至少选择一个作为该用户组的权限,表示希望对该用户组、该企业项目下的DTS实例进行相关权限管理。
退出当前账号,并使用创建的子账号和对应密码登录,选择相应资源池和企业项目,您可看到主账户创建的对应企业项目下的资源。
注意
通过上述权限配置,子账号只能看到或操作已授权的企业项目下的资源,不能看到主账号创建的其他企业项目下的资源子账号。
如果子账号对应的用户组授予了足够的权限,您也可以利用子账户创建开通实例。
为子帐号开放所有企业项目权限
创建子帐号后,如果您希望子帐号可以看到所有的企业项目,而不仅是个别项目,可以参照以下步骤:
对于创建完毕的子帐号,且子账号已经加入到用户组,在用户组页面选择该子账号所在的用户组,点击操作列的授权。
输入框搜索“DTS”,选择DTS的相关策略,也可根据实际需要选择其他策略,搜索加入,确认无误勾选该策略并点击右下角下一步。
进入设置最小授权范围,选择想要配置的资源池,并点击右下角的确认。
显示授权成功。
回到用户组列表,点击查看,可以看到授权信息。
此时用子帐号登录天翼云官网,进入DTS控制台,即可看到主账号创建的所有企业项目下的资源。
