本文为您介绍如何创建腾讯云主账号、管理员用户和子账号,并如何设置 DMC 的访问权限。
前提条件
DMC 预设策略
QcloudDMCDeveloper 数据库管理(dmc)开发者策略权限:具有 SQL 窗口、快捷登录页面所有操作权限。
QcloudDMCDba 数据库管理(dmc)DBA 策略权限:具有所有功能页面的操作权限。
账号分类及菜单功能权限说明
分类 | 页面功能 | 腾讯云主账号 | 腾讯云子账号 | 说明 | |||
| | | 腾讯云管理员用户 | 具有预设的数据库管理(dmc)DBA 策略权限的 DBA 用户 | 具有预设的数据库管理(dmc)开发者策略权限的开发者用户 | 在访问管理自定义的具有 DMC 权限的用户 | |
基础开发 | SQL 窗口 | 具有操作权限 | 具有操作权限 | 具有操作权限 | 具有操作权限 | 以实际所设策略为准。 | 对于指定资源账号,只可操作对应资源。 对于 提交工单 要求禁止通过 DMC 控制台访问数据库的账号,均禁止使用。 |
| 快捷登录 | 具有操作权限 | 具有操作权限 | 具有操作权限 | 具有操作权限 | | |
| 标记管理 | 具有操作权限 | 具有操作权限 | 具有操作权限 | 具有查看权限 | | 无 |
高阶开发 | 数据源 | 具有操作权限 | 具有操作权限 | 具有操作权限 | 具有查看权限 | | 无 |
| 结构对比 | 具有操作权限 | 具有操作权限 | 具有操作权限 | 具有查看权限 | | 无 |
| 跨库联查 | 具有操作权限 | 具有操作权限 | 具有操作权限 | 具有查看权限 | | 无 |
安全发布 | 管控实例 | 具有操作权限 | 具有操作权限 | 具有操作权限 | 具有查看、登录和申请权限 | | 无 |
| 规则模板 | 具有操作权限 | 具有操作权限 | 具有操作权限 | 具有查看权限 | | 无 |
| SQL 变更(工单) | 具有操作权限 | 具有操作权限 | 具有操作权限 | 具有操作权限 | | 只可对申请过权限的实例创建、管理工单。 对应终止执行,仅限创建者或审核人可操作。 |
| 导入导出(工单) | 具有操作权限 | 具有操作权限 | 具有操作权限 | 具有操作权限 | | |
| 权限申请(工单) | 具有操作权限 | 具有操作权限 | 具有操作权限 | 具有操作权限 | | |
| 工单列表 | 具有操作权限 | 具有操作权限 | 具有操作权限 | 具有操作权限 | | |
| 执行列表 | 具有操作权限 | 具有操作权限 | 具有操作权限 | 具有操作权限 | | |
| 操作历史 | 具有操作权限 | 具有操作权限 | 具有操作权限 | 具有操作权限 | | 无 |
准备腾讯云主账号
腾讯云主账号默认具有 DMC 的所有页面的访问权限。下面为您介绍创建腾讯云主账号及开授权 DMC 安全发布功能的操作。
1. 注册腾讯云。
2. 实名认证腾讯云账号,具体操作请参见 实名认证基本介绍 及相关文档。
3. 为主账号设置高阶开发和安全发布权限。
3.1 为主账号授权 DMC 安全发布功能。具体操作请参见 为用户授权安全发布功能。
说明:
主账号或及其子账号仅授权一次,其他同主账号下的子账号均无需再次授权。
3.2 (可选)自定义规则模板及其中的审批人员。具体操作请参见 创建规则模板。
说明:
若使用预置规则模板且后续的工单审批人员为腾讯云主账号,则无需执行该步骤。
若自定义规则模板和审批人员,请执行该步骤。
3.3 将待执行 SQL 变更和导入导出的执行实例添加至数据源页面。具体操作请参见 创建数据源。
3.4 将待执行 SQL 变更和导入导出的执行实例开通实例管控。具体操作请参见 开通实例管控。
说明:
开通管控时,规则模板请选择预置模板,其中工单审批人默认为腾讯云主账号。
3.5 在权限申请页面,申请 SQL 窗口、SQL 变更工单、导入导出工单权限。具体操作请参见 权限申请。
3.6 在工单列表页面审批工单。具体操作请参见 审批工单。
至此您已具有 DMC 页面的所有操作权限。
准备腾讯云管理员用户
该管理员账号可以管理您腾讯云账号内所有用户及其权限、财务相关的信息、以及云服务资产。即该用户也具有 DMC 的所有操作权限。
1. 创建管理员用户。
2. 为管理员账号设置高阶开发和安全发布权限。
2.1 授权 DMC 安全发布功能。具体操作请参见 为用户授权安全发布功能。
说明:
主账号或及其子账号仅授权一次,其他同主账号下的子账号均无需再次授权。
2.2 (可选)自定义规则模板及其中的审批人员。具体操作请参见 创建规则模板。
说明:
若使用预置规则模板且后续的工单审批人员为腾讯云主账号,则无需执行该步骤。
若自定义规则模板和审批人员,请执行该步骤。
2.3 将待执行 SQL 变更和导入导出的执行实例添加至数据源页面。具体操作请参见 创建数据源。
2.4 将待执行 SQL 变更和导入导出的执行实例开通实例管控。具体操作请参见 开通实例管控。
说明:
开通管控时,规则模板请选择预置模板,其中工单审批人默认为腾讯云主账号。
2.5 在权限申请页面,申请 SQL 窗口、SQL 变更工单、导入导出工单权限。具体操作请参见 权限申请。
准备 DMC DBA 用户
可使用腾讯云主账号或主账号下的管理员用户创建 DMC DBA 用户。
步骤一:在访问管理页面创建具有 DMC DBA 操作权限的用户
2. 在用户列表管理页面,单击新建用户,进入新建用户页面。
3. 在新建用户页面,选择创建方式。以自定义创建为例,操作步骤如下:
4. 在选择用户类型页面,单击可访问资源并接收消息后,单击下一步填写用户信息。
5. 在填写用户信息页面,设置用户信息、访问方式等信息。完成后单击下一步设置用户权限。
6. 在设置用户权限页面,为子用户绑定 QcloudDMCDba 数据库管理(dmc)DBA 策略权限。完成后单击下一步 设置用户标签。
7. 在设置用户标签页面,选择子用户关联的标签信息,单击下一步审阅信息和权限。
8. 在审阅信息和权限页面,确认配置信息无误后,单击完成。
9. 进入成功新建用户页面,您可以通过以下两种方法获取子用户信息。
单击复制,可直接获取复制子用户登录信息。
单击发送至填写邮箱信息,系统将把完整的子用户信息发送至邮箱。
步骤二:在访问管理页面为 DBA 用户添加要管理的资源权限
1. 登录 访问管理控制台,并在左侧导航栏中单击策略,进入策略页面。
2. 在页面上方单击新建自定义策略,在弹出的对话框中选择按策略生成器创建。
3. 选择 JSON 页签,输入策略语法。
要添加的数据库类型不同,输入的接口不同。具体如下所示。
{"statement": [{"action": ["cdb:DescribeDBInstances"],"effect": "allow","resource": ["*"]},{"action": ["vdb:DescribeInstances"],"effect": "allow","resource": ["*"]},{"action": ["mongodb:DescribeDBInstances"],"effect": "allow","resource": ["*"]}],"version": "2.0"}
{"statement": [{"action": ["cdb:DescribeDBInstances"],"effect": "allow","resource": ["qcs::cdb:ap-guangzhou:uin/1000015****6:instanceId/cdb-****"]},{"action": ["vdb:DescribeInstances"],"effect": "allow","resource": ["qcs::vdb:ap-guangzhou:uin/1000015****6:instance/vdb-****"]},{"action": ["mongodb:DescribeDBInstances"],"effect": "allow","resource": ["qcs::mongodb::uin/1000015****6:instance/cmgo-****"]}],"version": "2.0"}
4. 设置完成后,单击下一步。
5. 输入策略名称,单击选择用户,在弹出的对话框中选择 步骤一 已创建的用户,单击确定,单击完成。
步骤三:DBA 用户在 DMC 页面申请提交 SQL 变更、导入导出工单权限
2. 将待执行 SQL 变更和导入导出的执行实例添加至数据源页面。具体操作请参见 创建数据源。
3. 将待执行 SQL 变更和导入导出的执行实例开通实例管控。具体操作请参见 开通实例管控。
4. 在权限申请页面,申请 SQL 窗口、SQL 变更工单、导入导出工单权限。具体操作请参见 权限申请。
准备 DMC 开发者用户
可使用腾讯云主账号或主账号下的管理员用户创建 DMC 开发者用户。
步骤一:在访问管理页面创建具有 DMC 开发者操作权限的用户
2. 在用户列表管理页面,单击新建用户,进入新建用户页面。
3. 在新建用户页面,选择创建方式。以自定义创建为例,操作步骤如下:
4. 在选择用户类型页面,单击可访问资源并接收消息后,单击下一步填写用户信息。
5. 在填写用户信息页面,设置用户信息、访问方式等信息。完成后单击下一步设置用户权限。
6. 在设置用户权限页面,为子用户绑定 QcloudDMCDeveloper 数据库管理(dmc)开发者策略权限。完成后单击下一步 设置用户标签。
7. 在设置用户标签页面,选择子用户关联的标签信息,单击下一步 审阅信息和权限。
8. 在审阅信息和权限页面,确认配置信息无误后,单击完成。
9. 进入成功新建用户页面,您可以通过以下两种方法获取子用户信息。
单击复制,可直接获取复制子用户登录信息。
单击发送至填写邮箱信息,系统将把完整的子用户信息发送至邮箱。
步骤二:在访问管理页面为开发者用户添加要管理的资源权限
1. 登录 访问管理控制台,并在左侧导航栏中单击策略,进入策略页面。
2. 在页面上方单击新建自定义策略,在弹出的对话框中选择按策略生成器创建。
3. 选择 JSON 页签,输入策略语法。
要添加的数据库类型不同,输入的接口不同。具体如下所示。
{"statement": [{"action": ["cdb:DescribeDBInstances"],"effect": "allow","resource": ["*"]},{"action": ["vdb:DescribeInstances"],"effect": "allow","resource": ["*"]},{"action": ["mongodb:DescribeDBInstances"],"effect": "allow","resource": ["*"]}],"version": "2.0"}
{"statement": [{"action": ["cdb:DescribeDBInstances"],"effect": "allow","resource": ["qcs::cdb:ap-guangzhou:uin/1000015****6:instanceId/cdb-****"]},{"action": ["vdb:DescribeInstances"],"effect": "allow","resource": ["qcs::vdb:ap-guangzhou:uin/1000015****6:instance/vdb-****"]},{"action": ["mongodb:DescribeDBInstances"],"effect": "allow","resource": ["qcs::mongodb::uin/1000015****6:instance/cmgo-****"]}],"version": "2.0"}
4. 设置完成后,单击下一步。
5. 输入策略名称,单击选择用户,在弹出的对话框中选择 步骤一 已创建的用户,单击确定,单击完成。
