本文为您介绍通过控制台设置账号 CAM 验证相关说明和操作。
说明:
支持地域
此功能目前支持的地域为:上海、广州。
背景
在使用云数据库的场景中,通常需要为数据库创建独立的账号和密码,并授权给相应的用户进行访问和操作。这种方式的账户管理比较复杂,容易出现账号密码泄露等安全问题。基于以上背景,云数据库 MySQL 支持为账号启用 CAM 验证功能,通过打通腾讯云平台子账号与数据库账号之间的关系以及增加 CAM 凭证的身份验证,简化账号权限管理的复杂度,提升数据库的安全性和账号管理效率。
操作场景
如果用户对安全性有较高要求,可以通过本功能将 CAM 与数据库账号验证相绑定,用户在请求时可获取对应的密码来访问数据库,以提升数据库的安全性。我们建议如下两种场景,启用 CAM 验证。
使用 CAM 身份验证作为临时、个人访问数据库的机制时。
仅对可以轻松重试的工作负载使用 CAM 身份验证。
注意事项
请尽可能使用长连接访问数据库。
启用 CAM 验证前需要提前配置好相关 CAM 权限规则。
启用 CAM 验证后不支持修改密码。
root 账号也支持启用 CAM 验证。
关闭 CAM 验证后将无法通过 CAM 获取访问凭证,因此在关闭 CAM 验证时需要输入一个新密码。
功能限制
单个实例内建议不超过10个账号开启 CAM 验证。
启用 CAM 验证后不支持对该账号进行重置密码操作。
仅支持单个主机地址的账户启用 CAM 验证功能。
相同账号名不支持重复启用 CAM 验证功能。
若实例先启用了 CAM 验证,则不支持开启 密码复杂度 功能。
若实例开启了 密码复杂度 功能,在启用 CAM 验证后,不支持调整密码复杂度规则。
前提条件
已 创建 MySQL 实例。
已 提交工单 申请使用此功能。
实例状态为运行中。
步骤1:配置 CAM 权限规则
在使用账号 CAM 验证功能之前,用户需要先配置相关的 CAM 权限规则。
策略内容
{"statement": [{"action": ["cam:BuildDataFlowAuthToken"],"effect": "allow","resource": ["qcs::cam::uin/<用户 uin>:resourceUser/<实例 ID>/<用户名>",]}],"version": "2.0"}
<用户 uin>:替换为实际的账号 ID。
<实例 ID>:替换为实际需要授权的实例 ID。
<用户名>:替换为实际需要授权的用户名。
操作指引
1. 使用管理员账号登录访问管理控制台,在 策略 页面,按照策略生成器创建自定义策略(请参见 通过策略生成器创建自定义策略)。
效果:允许
服务:访问管理(cam)
操作:其他操作 - BuildDataFlowAuthToken
资源:特定资源 - 添加资源六段式
填写资源:<实例 ID>/<用户名>
2. 单击下一步,自定义策略的名称,并将策略授予目标子账号。
3. 单击完成,完成授权。
步骤2:启用 CAM 验证
启用 CAM 验证分为两种情形,分别是创建账号时启用 CAM 验证和为已有账号启用 CAM 验证,您可按照如下步骤分别操作。
1. 登录 MySQL 控制台。
2. 在实例列表,单击实例 ID 或操作列的管理,进入实例管理页面。
3. 在实例管理页面,选择数据库管理 > 账号管理 > 创建账号,在弹出的对话框填写相关信息,确认无误后单击确定。
说明:
启用 CAM 验证:打开“启用 CAM 验证”后的按钮,在弹窗下阅读重要提示后单击确定。
4. 成功启用 CAM 验证的账号名下会显示“已启用 CAM 验证”。
1. 登录 MySQL 控制台。
2. 在实例列表,单击实例 ID 或操作列的管理,进入实例管理页面。
3. 在实例管理页,选择数据库管理 > 账号管理。
4. 在账号管理页面,找到目标账号,在其操作列单击启用 CAM 验证。
5. 在弹窗下阅读重要提示后,单击确定。
6. 成功启用 CAM 验证的账号名下会显示“已启用 CAM 验证”。
步骤3:在应用程序通过代码调用获取密码
账号具备了相关 CAM 权限规格,并且启用了 CAM 验证后,用户可在应用程序通过 Java 等代码调用来获取密码,从而连接数据库实例。
1. 在腾讯云控制台,账号信息 页面,查询账号的 APPID。
2. 在 访问管理控制台 > API 密钥管理 获取 SecretID 和 SecretKey。
3. 在应用程序使用如下代码。
<dependency><groupId>com.tencentcloudapi</groupId><artifactId>tencentcloud-dbauth-sdk-java</artifactId><version>1.0.0</version></dependency>
通过代码调用获取密码的示例
package com.tencentcloud.dbauth;import com.tencentcloudapi.common.Credential;import com.tencentcloud.dbauth.model.GenerateAuthenticationTokenRequest;import com.tencentcloudapi.common.exception.TencentCloudSDKException;public class GenerateDBAuthentication {public static void main(String[] args) {// 定义认证令牌的参数String region = "<实例所在地域>";String instanceId = "<实例 ID>";String userName = "<用户名>";// 从环境变量中获取凭证Credential credential = new Credential(System.getenv("<TENCENTCLOUD_SECRET_ID>"), System.getenv("<TENCENTCLOUD_SECRET_KEY>"));System.out.println(getAuthToken(region, instanceId, userName, credential));}public static String getAuthToken(String region, String instanceId, String userName, Credential credential) {try {// 构建 GenerateAuthenticationTokenRequestGenerateAuthenticationTokenRequest tokenRequest = GenerateAuthenticationTokenRequest.builder().region(region).credential(credential).userName(userName).instanceId(instanceId).build();return DBAuthentication.generateAuthenticationToken(tokenRequest);} catch (TencentCloudSDKException e) {e.printStackTrace();}return "";}}
<实例所在地域>:替换为您需要访问的实例所在地域,示例:ap-guangzhou。
<实例 ID>:替换为需要访问的实例 ID。
<用户名>:替换为实际登录的用户名。
<TENCENTCLOUD_SECRET_ID>:替换为从访问管理控制台获取到的 SecretID。
<TENCENTCLOUD_SECRET_KEY>:替换为从访问管理控制台获取到的 SecretKey。
步骤4:使用身份令牌连接云数据库 MySQL
mysql --host=<IP 地址> --port=<端口号> --user=<用户名> --password=<密码>;
<IP 地址>:替换为您实例的 IP 地址。
<端口号>:替换为您实例的端口号,若未修改过端口号,则默认为3306。
<用户名>:替换为您实际登录的用户名。
<密码>:替换为 步骤3 中获取到的 AuthToken。
附录1:刷新密码
当账号启用 CAM 验证功能后,可以通过刷新密码操作来更新密码。如果该账号设置的轮转周期为12小时更换一次密码,则在未到达轮转周期之前,可以通过刷新密码操作来立即更新密码。
注意:
注意刷新密码后,当前登录凭证会失效,需要观察业务访问数据库状态是否符合预期。
1. 登录 MySQL 控制台。
2. 在实例列表,单击实例 ID 或操作列的管理,进入实例管理页面。
3. 在实例管理页面,选择数据库管理 > 账号管理。
4. 在账号管理页面,找到目标账号,在其操作列单击更多 > 刷新密码。
5. 在弹窗下阅读风险提示后,单击确定。
附录2:关闭 CAM 验证
注意:
关闭 CAM 验证后无法通过 CAM 获取访问凭证,请及时更新密码。
1. 登录 MySQL 控制台。
2. 在实例列表,单击实例 ID 或操作列的管理,进入实例管理页面。
3. 在实例管理页面,选择数据库管理 > 账号管理。
4. 在账号管理页面,找到目标账号,在其操作列单击更多 > 关闭 CAM 验证。
5. 在弹窗下输入新密码并确认密码后单击确定。
