安全管理

白名单管理

云数据库 RDS 可以通过白名单设定允许访问该实例的IP来源,支持的格式为IP、CIDR(网段)和%(不限制任何ip)。

说明:

  • 云数据库 RDS 实例创建后,默认允许所有IP通过便于用户连接,为了保证数据安全,请用户重新设置白名单后再连接数据库。
  • 目前白名单上限阈值为100个。
  1. 在实例的“白名单”页面,可以看到白名单列表。

  2. 点击“添加IP”,在弹出的对话框中输入要增加的白名单,确认后添加成功。

  3. 选择要删除的白名单后,点击“删除”即可完成白名单删除。

多用户访问控制

介绍

云数据库 RDS 多用户访问控制是指原用户作为子帐号的主帐号,可以给子帐号分配相关产品或实例的操作权限,实现细粒度的权限管理。如给DBA等一线操作人员分配产品级或具体到实例级别的云数据库 RDS 运维操作权限,给其他非操作人员分配产品级或实例级的云数据库 RDS 查看权限。

适用于下列使用场景:

  • 中大型企业客户:对公司内多个员工授权管理;

  • 偏技术型vendor或SAAS的平台商:对代理客户进行资源和权限管理;

  • 中小开发者或小企业:添加项目成员或协作者,进行资源管理。

创建子用户

  1. 主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面。

  2. 在左侧导航栏点击“用户管理”,在“子用户管理列表”页,点击“新建用户”。

  3. 在弹出的“新建用户”对话框中,完成填写“用户名”和确认,返回“子用户管理列表”区可以查看到刚刚创建的子用户。

配置策略

云数据库 RDS 支持系统策略和用户自定义策略两种,分别实现云数据库 RDS 的产品级权限和实例级权限控制。

系统策略

系统策略为云数据库 RDS 产品级权限,云数据库 RDS 有产品级管理权限、产品级运维权限和产品级只读权限三种系统策略,权限范围详细解释如下。

权限 权限范围
云数据库 RDS 产品级管理权限 所有云数据库 RDS 实例所有操作权限。
云数据库 RDS 产品级运维权限 可以访问、操作所有主帐号下的云数据库 RDS 实例权限,不包括创建主实例/只读/代理实例权限,不包括克隆实例、配置变更、续费、tag、计费变更、释放实例。
云数据库 RDS 产品级只读权限 所有云数据库 RDS 实例列表查看权限,包括实例详情查看、监控、日志。无操作权限。

自定义策略

子用户可以通过点击“创建策略”添加自定义策略来进行实例级权限控制,自定义策略的添加有配置策略生成器和编辑策略文件两种方式,用户可以根据具体的权限设置修改策略内容。

  • 策略生成器:用户可以通过策略生成器选择实例操作权限和配置资源区域来添加自定义策略,点击完成后,创建的策略展示于自定义策略列表中。

    注意:目前每条策略只能选择单个区域进行实例配置

  • 编辑策略文件:用户也可以通过编辑策略文件添加自定义策略,策略文件本质上是一个JSON文件,无论是系统策略还是用户自定义策略,最终都会映射成为一个ACL的JSON串。使用ACL策略配置文件,用户可以非常灵活的定义权限策略,但是需要用户理解ACL字符串的含义。编辑ACL权限策略的语法可参考文档[策略语法]。文件中permission和resource用来定义权限和资源。

    策略文件中各字段的含义如下:

    字段 数据类型 说明 是否必须 父节点
    accessControlList list 标识acl主体的开始,由一或多组acl配置项组成,其中acl配置项由service+region+effect+permission+resource组合而成。
    +service string acl配置项影响的服务组件,云数据库 RDS 固定为"bce:rds"。 accessControlList
    +region string acl配置项影响的区域,取值范围为"bj"、"gz"、"su"、"hk"和"∗"。其中"bj"代表北京region,"gz"代表广州region,"su"代表苏州region,"h"代表香港region,"∗"代表示所有区域。取值需要写在引号内部,标点符号需用英文半角。 accessControlList
    +effect string 指定与该条acl配置项匹配的Request能否执行,取值为"Allow"或"Deny"。"Allow"表示可以执行"Deny"表示拒绝执行。 accessControlList
    +permission list ACL配置项所影响的权限,取值范围为"READ"和通配符"∗"。"READ"为只读权限,"∗"为运维权限。 accessControlList
    +resource list ACL配置项所影响的资源,支持通配符"∗"和具体实例ID。"∗"代表所有的实例,实例ID可以配置多个,取值用半角英文引号包住,取值间用逗号间隔。 accessControlList

云数据库 RDS 自定义实例级权限范围详细解释如下:

权限 权限范围
云数据库 RDS 实例级管理权限 所选云数据库 RDS 实例的所有操作权限,不包括新建主实例
云数据库 RDS 实例级运维权限 所选云数据库 RDS 实例(包括关联只读、代理)所有操作权限,不包括创建主实例/只读/代理实例权限,不包括克隆实例、配置变更、续费、tag、计费变更、释放实例。
云数据库 RDS 实例级只读权限 所选云数据库 RDS 实例(包括关联只读、代理)详情查看、监控、日志权限。

用户授权

在“用户管理->子用户管理列表页”的对应子用户的“操作”列选择“添加权限”,并为用户选择系统权限或自定义策略进行授权。

说明:如果在不修改已有策略规则的情况下修改某子用户的权限,只能通过删除已有的策略并添加新的策略来实现,不能取消勾选已经添加过的策略权限。

子用户登录

主账号完成对子用户的授权后,可以将链接发送给子用户;子用户可以通过IAM用户登录链接登录主账号的管理控制台,根据被授权的策略对主账户资源进行操作和查看。

其他详细操作参考:多用户访问控制