腾讯云数据库子用户权限及策略配置

配置策略

腾讯云数据库 支持系统策略和用户自定义策略两种,分别实现腾讯云数据库 的产品级权限和腾讯云数据库mysql级权限控制。

系统策略

系统策略为腾讯云数据库 产品级权限,腾讯云数据库 有产品级管理权限、产品级运维权限和产品级只读权限三种系统策略,权限范围详细解释如下。

云数据库实例级管理权限:所选云数据库 RDS 实例的所有操作权限,不包括新建主实例
云数据库实例级运维权限:所选云数据库 RDS 实例(包括关联只读、代理)所有操作权限,不包括创建主实例/只读/代理实例权限,不包括克隆实例、配置变更、续费、tag、计费变更、释放实例。
云数据库实例级只读权限:所选云数据库 RDS 实例(包括关联只读、代理)详情查看、监控、日志权限。

自定义策略

子用户可以通过点击“策略管理>创建策略”添加自定义策略来进行腾讯云数据库mysql级权限控制,自定义策略的添加有"按策略生成器创建"和"按标签创建"两种方式,用户可以根据具体的权限设置修改策略内容。

按策略生成器创建:用户选择"按策略生成器创建"后,点击页面的"添加权限"来进行权限配置。

在弹窗中选择服务"腾讯云数据库",可通过"策略生成器"和"编辑策略文件"来进行权限配置。当选择"策略生成器"时,用户可选择权限效力,腾讯云数据库mysql操作,并且可以配置资源区域来添加自定义策略,点击完成后,创建的策略展示于自定义策略列表中。

当选择"编辑策略文件"时,用户也可以通过编辑策略文件添加自定义策略,策略文件本质上是一个JSON文件,无论是系统策略还是用户自定义策略,最终都会映射成为一个ACL的JSON串。
使用ACL策略配置文件,用户可以非常灵活的定义权限策略,但是需要用户理解ACL字符串的含义。编辑ACL权限策略的语法可参考文档[策略语法]。文件中permission和resource用来定义权限和资源。

策略文件中各字段的含义如下:

  • 字段 数据类型 说明 是否必须 父节点
    accessControlList list 标识acl主体的开始,由一或多组acl配置项组成
    其中acl配置项由service+region+effect+permission+resource
    组合而成。
    +service string acl配置项影响的服务组件,云数据库 RDS固定为"bce:rds"。 accessControlList
    +region string acl配置项影响的区域,取值范围为"bj"、"gz"、"su"、"hk"和"∗"
    其中"bj"代表北京,"gz"代表广州,"su"代表苏州,"h"代表香港
    "∗"代表示所有区域。取值需要写在引号内部
    标点符号需用英文半角。
    accessControlList
    +effect string 指定与该条acl配置项匹配的Request能否执行
    取值为"Allow"或"Deny"。
    "Allow"表示可以执行"Deny"表示拒绝执行。
    accessControlList
    +permission list ACL配置项所影响的权限,取值范围为"READ"和通配符"∗"。
    "READ"为只读权限,"∗"为运维权限。
    accessControlList
    +resource list ACL配置项所影响的资源,支持通配符"∗"和具体实例ID。
    "∗"代表所有的实例,实例ID可以配置多个
    取值用半角英文引号包住
    取值间用逗号间隔。
     

子用户也可以通过"按标签创建"的方式进行策略配置。

权限 权限范围
云数据库实例级管理权限 所选云数据库 RDS 实例的所有操作权限
不包括新建主实例
云数据库实例级运维权限 所选云数据库 RDS 实例(包括关联只读、代理)所有操作权限
不包括创建主实例/只读/代理实例权限,不包括克隆实例
配置变更、续费、tag、计费变更、释放实例。
云数据库例级只读权限 所选云数据库 RDS 实例(包括关联只读、代理)详情查看
监控、日志权限。

标签