如果您在腾讯云中使用到了云数据库、云服务器、私有网络等多项服务,这些服务由不同的人管理,但都共享您的云账号密钥,将存在如下问题:
您的密钥由多人共享,泄密风险高。
您无法限制其他人的访问权限,易产生误操作造成安全风险。
为解决以上问题,您可以通过 访问管理(Cloud Access Management,CAM) 创建子账号来实现不同的人管理不同的业务。默认情况下,子账号没有使用云数据库实例以及云数据库相关资源的权限。因此,我们就需要创建策略来允许子账号使用他们所需要的资源或者权限。
如果您不需要对子账号进行 TDSQL-H LibraDB 相关资源的访问管理,您可以跳过此章节。跳过这些部分并不影响您对文档中其余部分的理解和使用。
策略说明
策略是用于定义和描述一条或多条权限的语法规范。策略通过授权一个用户或者一组用户来允许或拒绝使用指定资源。CAM 策略语法逻辑请参见 元素参考 及其他相关文档,想要了解更多 CAM 策略相关信息请参见 相关概念 及其他相关文档。
CAM 策略必须授权使用一个或多个 TDSQL-H LibraDB 操作,或者必须拒绝使用一个或多个 TDSQL-H LibraDB 操作。同时还必须指定可以用于操作的资源(可以是全部资源,某些操作也可以是部分资源),策略还可以包含操作资源所设置的条件。
说明
建议用户使用 CAM 策略来管理 TDSQL-H LibraDB 资源和授权 TDSQL-H LibraDB 操作。
TDSQL-H LibraDB 暂时不支持相关生效条件设置。
TDSQL-H LibraDB 的操作(action)
在 CAM 策略语句中,您可以从支持 CAM 的任何服务中指定任意的 API 操作(action)。对于 TDSQL-H LibraDB,请使用以 tdach: 为前缀的 API。例如 tdach: DescribeInstances(查询实例列表)。
如果您要在单个语句中指定多个操作的时候,请使用英文逗号将它们隔开,如下所示:
"action":["tdach:action1","tdach:action2"]
您也可以使用通配符指定多项操作。例如,您可以指定名字以单词 "Describe" 开头的所有操作,如下所示:
"action":["tdach:Describe*"]
如果您要指定 TDSQL-H LibraDB 中所有操作,请使用 * 通配符,如下所示:
"action":["tdach:*"]
TDSQL-H LibraDB 的资源(resource)
TDSQL-H LibraDB 的资源路径一般形式如下:
qcs::tdach:region:account:resource
下文以 region 为 ap-guangzhou、account 主账号为 uin/12345678 为例,资源路径示例如下:
您可以使用特定实例(tdach-ip75is8n)在语句中指定它,如下所示:
"resource":[ "qcs::tdach:ap-guangzhou:uin/12345678:instance/tdach-ip75is8n"]
您还可以使用 * 通配符指定属于特定账号(uin/12345678)的所有实例,如下所示:
"resource":[ "qcs::tdach:ap-guangzhou:uin/12345678:instance/*"]
您要指定所有资源,或者如果特定 API 操作不支持资源级权限,请在 resource 元素中使用 * 通配符,如下所示:
"resource": ["*"]
如果您想要在一条指令中同时指定多个资源,请使用逗号将它们隔开,指定两个资源,如下所示:
"resource":["resource1","resource2"]
TDSQL-H LibraDB 支持 CAM 的业务接口
TDSQL-H LibraDB 预设策略
为了简化 TDSQL-H LibraDB 权限管理,TDSQL-H LibraDB 内置了两个预设策略:
QcloudTDACHFullAccess:TDSQL-H LibraDB (TDACH)全读写访问权限。
QcloudTDACHReadOnlyAccess:TDSQL-H LibraDB (TDACH)只读访问权限。
