本文介绍如何在 TDSQL Boundless 控制台对普通账号进行授权管理,包括授予全局特权、授予对象级特权以及取消授权。
说明:
dbaadmin 为系统预置的高权限账号,权限随实例创建即固定,不支持通过本页修改。如需重置 dbaadmin 密码,请参见 重置密码。
普通账号创建后默认无任何权限,需通过本页授权后才能访问业务数据。建议遵循最小权限原则,只授予业务实际需要的权限。
账号权限说明
TDSQL Boundless 普通账号支持以下数据库权限,可在授权时按需勾选。
权限名称 | 权限说明 |
ALTER | 修改数据库中表的结构,包括修改表的字段、增加表字段、删除表字段、增加和删除表的索引等操作的权限。 |
ALTER ROUTINE | 更改存储过程和函数等例程的权限。 |
CREATE | 创建新的数据库、表、视图、存储过程、函数等对象的权限。 |
CREATE ROUTINE | 创建存储过程和函数等例程对象的权限。 |
CREATE TEMPORARY TABLES | 创建临时表的权限。 |
CREATE VIEW | 创建视图对象的权限。 |
DELETE | 能够从指定的表中删除数据的权限。 |
DROP | 删除数据库、表、视图、存储过程、函数等对象的权限。 |
EVENT | 创建、修改和删除事件的权限。 |
EXECUTE | 此权限可以让用户执行已经存在的存储过程和函数等对象。 |
INDEX | 创建和删除索引的权限。 |
INSERT | 向表中插入/写入新的数据的权限。 |
LOCK TABLES | 锁定指定的数据表以进行读写操作的权限。 |
REFERENCES | 在当前数据库中创建或删除外键约束的权限。 |
RELOAD | 重新加载系统的一些配置文件、重启或关闭数据库等操作的权限。 |
REPLICATION CLIENT | 查看和管理复制进程状态和参数的权限。 |
REPLICATION SLAVE | 从 MASTER 服务器复制数据的权限。 |
SELECT | 从指定的表中查询数据的权限。 |
SHOW DATABASES | 显示当前数据库服务器中的所有数据库的权限。 |
SHOW VIEW | 查看视图定义的权限。 |
SYSTEM_VARIABLES_ADMIN | 修改系统变量的权限。 |
TRIGGER | 创建和管理触发器的权限。 |
UPDATE | 更新指定表的数据的权限。 |
授权范围
授权时,可根据业务需要选择以下两种授权范围之一。
全局特权:账号将拥有该实例下所有数据库的所选权限,适用于运维或跨库访问场景。
对象级特权:账号将仅拥有指定数据库的所选权限,适用于按业务隔离授权场景,是推荐的最小权限授权方式。
操作步骤
1. 登录 TDSQL Boundless 控制台,在实例列表中,单击实例 ID,进入实例详情页面。
2. 选择账号管理页签,在账号所在行,单击操作列修改权限。
3. 在修改账号权限页面,勾选数据库权限,可以单击预览修改,确认修改无误后,单击确定修改。
全局特权:在全局特权区域勾选所需权限,账号将获得对实例下所有数据库的对应权限。
对象级特权:在对象级特权区域选择目标数据库,再勾选所需权限,账号将仅获得对该数据库的对应权限。
4. (可选)单击预览修改,确认本次授权前后的权限差异。
5. 确认无误后,单击确定修改,完成授权。
说明:
权限变更实时生效,账号在新连接中即可使用新权限;已建立的连接需重新连接后生效。
取消授权
如需收回某账号的权限,可在修改账号权限页面取消勾选对应权限项后保存:
取消全局特权中的勾选项,将收回该账号在该实例下所有数据库的对应权限。
取消对象级特权中某数据库下的勾选项,将仅收回该数据库的对应权限。
注意:
取消授权会立即影响业务访问,请在变更前确认相关业务无依赖,必要时建议先在低峰期操作。
