操作场景
DatabaseClaw 通过凭证体系管理数据库连接所需的身份认证信息。凭证管理功能提供统一的凭证存储、加密和生命周期管理能力,确保数据库连接信息的安全性和可管理性。本文介绍凭证管理的概念和操作方法。
背景信息
凭证分类
DatabaseClaw 的凭证体系分为两类:
凭证类型 | 说明 | 用途 |
第一类凭证(平台凭证) | 通过 CAM 服务角色 DatabaseClaw_QCSRolelnResourceAccess 自动获取的云 API 调用权限。 | 查询云数据库实例列表、获取实例信息、管理实例等平台级操作。无需用户手动配置。 |
第二类凭证(数据库凭证) | 用户手动配置的数据库连接账号和密码。 | 连接到具体的数据库实例,执行诊断、巡检等运维操作。 |
凭证安全机制
安全措施 | 说明 |
加密存储 | 数据库密码通过腾讯云密钥管理服务(KMS)加密存储。 |
脱敏展示 | 控制台查看密码时自动脱敏显示,仅展示部分字符。 |
传输加密 | 凭证在传输过程中使用 HTTPS 加密保护。 |
最小权限 | 第一类凭证绑定 QCloudTDAIDatabaseClawDenyDestructive 策略,显式拒绝高危操作。 |
注意事项
建议为 DatabaseClaw 创建专用的数据库只读账号,遵循最小权限原则。
定期检查和轮换数据库凭证,确保安全合规。
删除数据源时,对应的凭证信息将一并清除。
使用限制
限制项 | 限制说明 |
凭证作用域 | 第二类凭证与 DatabaseClaw 实例强绑定,不同实例之间独立管理。 |
支持的数据库类型 | 云数据库 MySQL、分布式缓存数据库 Distributed Cache、云数据库 MongoDB、云数据库 TDSQL-C MySQL 版。 |
密码长度 | 受目标数据库产品的密码规则限制。 |
前提条件
已创建 DatabaseClaw 实例。
首次创建实例时已完成服务角色
DatabaseClaw_QCSRolelnResourceAccess 的授权(第一类凭证自动生效)。操作步骤
管理第一类凭证(平台凭证)
第一类凭证在首次创建 DatabaseClaw 实例时自动创建,无需手动配置。
如需查看或调整平台凭证的权限范围:
1. 前往 CAM 控制台。
2. 找到
DatabaseClaw_QCSRolelnResourceAccess 角色。3. 查看或修改绑定的策略。
管理第二类凭证(数据库凭证)
1. 登录 数据库 AI 服务控制台。
2. 在左侧导航栏选择 DatabaseClaw > 实例管理。
3. 单击目标实例卡片,进入对话页面。
4. 在对话页面顶部工具栏,单击数据源。
5. 在右侧弹框上方单击添加数据源。
6. 配置数据源。
7. 单击测试连接,验证凭证有效性和网络连通性。
8. 确认后凭证自动通过 KMS 加密存储。
更新数据库凭证
当数据库密码发生变更时,需同步更新 DatabaseClaw 中的凭证配置。
1. 登录 数据库 AI 服务控制台。
2. 在左侧导航栏选择 DatabaseClaw > 实例管理。
3. 单击目标实例卡片,进入对话页面。
4. 在对话页面顶部工具栏,单击数据源。
5. 在数据源管理弹窗中,找到目标数据源,在操作列单击编辑。
6. 输入新密码,执行连通性测试确认新凭证有效。
7. 单击确定保存。
说明:
数据库密码变更后如未及时更新 DatabaseClaw 中的凭证,将导致相关 Skill 执行失败。
相关操作
管理数据源
常见问题
第一类凭证和第二类凭证有什么区别?
第一类凭证是平台级别的 CAM 服务角色权限,用于查询云资源信息,自动获取无需手动配置。第二类凭证是数据库级别的连接账号密码,用于实际连接数据库执行运维操作,需用户手动配置。
凭证存储是否安全?
数据库密码通过腾讯云 KMS 加密存储,查看时脱敏显示,传输过程使用 HTTPS 加密。同时第一类凭证绑定了
QCloudTDAIDatabaseClawDenyDestructive 策略,显式拒绝销毁、清空、删库等高危操作。数据库密码变更后需要怎么操作?
需在数据源管理中编辑对应数据源,更新密码并通过连通性测试确认。否则依赖该数据源的 Skill 将无法正常执行。
