You need to enable JavaScript to run this app.
导航
通过子用户使用 MySQL 服务
最近更新时间:2024.02.06 21:22:13首次发布时间:2024.02.06 21:22:13

每个主账号均可以创建多个子账号,并为不同的子账号授予不同的权限,以此管理账号下不同身份对云资源的访问权限。本文介绍了通过子用户使用 MySQL 服务的相关内容。

适用场景

独立管理资源的场景:为不同业务创建不同子账号,通过子账号访问不同业务所属的资源。
安全问题:使用子账号的 AK/SK 调用 Open API 接口,可有效避免主账号 AK/SK 的泄露风险。

背景信息

策略

策略是对权限的一种描述,IAM 用户、用户组或角色均需通过关联策略来赋予权限。对于使用 MySQL 的子用户,可按需为子用户添加系统预设策略或自定义策略。

  • 系统预设策略

    关联服务策略名策略类型说明

    云数据库 MySQL 版

    RDSMySQLFullAccess

    系统预设策略

    云数据库 MySQL 版的全部管理权限。添加此权限后,用户会拥有策略作用范围内云数据库 MySQL 版的读写权限,如创建实例、删除实例、编辑实例。

    说明

    如用户仅获得此权限,还不能使用 MySQL 实例的全部功能。如需使用私有网络相关功能,需要获得 VPCFullAccessVPCReadOnlyAccess 权限;如需使用监控告警功能,需要获得 CloudMonitorFullAccessCloudMonitorReadOnlyAccess 权限;如需使用自治服务功能,需要获得 DbwFullAccess 权限。

    RDSMySQLReadOnlyAccess系统预设策略云数据库 MySQL 版的只读访问权限。添加此权限后,用户可以查看策略作用范围内 MySQL 实例。
    私有网络VPCFullAccess系统预设策略私有网络(VPC)的全部管理权限。添加此权限后,用户会拥有策略作用范围内私有网络的读写权限,如创建私有网络、为 MySQL 实例绑定私有网络或子网等。
    VPCReadOnlyAccess系统预设策略私有网络(VPC)的只读访问权限。添加此权限后,用户可以查看策略作用范围内 MySQL 实例的私网和子网信息。
    云监控CloudMonitorFullAccess系统预设策略云监控(CloudMonitor)的全部管理权限。添加此权限后,用户会拥有策略作用范围内 MySQL 实例的监控告警的读写权限,如查看实例的监控数据、为实例添加告警策略等。

    CloudMonitorReadOnlyAccess

    系统预设策略

    云监控(CloudMonitor)的只读访问权限。添加此权限后,用户可以查看策略作用范围内 MySQL 实例的监控数据。

    说明

    如果子用户需要查看监控信息,需要为子用户在全局范围内添加该权限。

    数据库工作台

    DbwFullAccess

    系统预设策略

    数据库工作台(DBW)全部管理权限。添加此权限后,用户会拥有策略作用范围内数据库工作台的读写权限,如使用数据交互台功能,使用观测诊断功能等。

    说明

    拥有 DBWFullAccess 权限的子用户在授权范围内(项目或者全局)将拥有对 MySQL 实例的管理权限,不受 MYSQLFullAccess 约束,请谨慎授权。

  • 自定义策略 除使用上表列出的系统预设策略对子用户进行授权外,也可以通过自定义策略定义更具体的管控策略。关于自定义策略的更多详细信息,请参见策略概述

作用范围

选定策略后,可根据需要为用户指定策略的作用范围。

  • 全局:用户获得的权限策略会在全局生效。

  • 指定项目:用户获得的权限策略会在指定项目内生效。

操作步骤

  1. 使用主用户账号登录云数据库 MySQL 版控制台,通过右上角个人中心,单击访问控制

  2. 访问控制>身份管理>用户页面,单击新建用户

  3. 创建用户页面,选择创建用户的方式。

说明

选择创建用户的方式后,在创建过程中需要为用户添加权限策略和设定策略的生效范围。关于权限的选择,请参见背景信息

  1. (可选)为子用户创建 AK/SK。关于创建 AK/SK的详细信息,请参见 Access Key(密钥) 管理