每个主账号均可以创建多个子账号,并为不同的子账号授予不同的权限,以此管理账号下不同身份对云资源的访问权限。本文介绍了通过子用户使用 MySQL 服务的相关内容。
独立管理资源的场景:为不同业务创建不同子账号,通过子账号访问不同业务所属的资源。
安全问题:使用子账号的 AK/SK 调用 Open API 接口,可有效避免主账号 AK/SK 的泄露风险。
策略是对权限的一种描述,IAM 用户、用户组或角色均需通过关联策略来赋予权限。对于使用 MySQL 的子用户,可按需为子用户添加系统预设策略或自定义策略。
系统预设策略
| 关联服务 | 策略名 | 策略类型 | 说明 |
|---|---|---|---|
云数据库 MySQL 版 | RDSMySQLFullAccess | 系统预设策略 | 云数据库 MySQL 版的全部管理权限。添加此权限后,用户会拥有策略作用范围内云数据库 MySQL 版的读写权限,如创建实例、删除实例、编辑实例。 说明 如用户仅获得此权限,还不能使用 MySQL 实例的全部功能。如需使用私有网络相关功能,需要获得 |
| RDSMySQLReadOnlyAccess | 系统预设策略 | 云数据库 MySQL 版的只读访问权限。添加此权限后,用户可以查看策略作用范围内 MySQL 实例。 | |
| 私有网络 | VPCFullAccess | 系统预设策略 | 私有网络(VPC)的全部管理权限。添加此权限后,用户会拥有策略作用范围内私有网络的读写权限,如创建私有网络、为 MySQL 实例绑定私有网络或子网等。 |
| VPCReadOnlyAccess | 系统预设策略 | 私有网络(VPC)的只读访问权限。添加此权限后,用户可以查看策略作用范围内 MySQL 实例的私网和子网信息。 | |
| 云监控 | CloudMonitorFullAccess | 系统预设策略 | 云监控(CloudMonitor)的全部管理权限。添加此权限后,用户会拥有策略作用范围内 MySQL 实例的监控告警的读写权限,如查看实例的监控数据、为实例添加告警策略等。 |
CloudMonitorReadOnlyAccess | 系统预设策略 | 云监控(CloudMonitor)的只读访问权限。添加此权限后,用户可以查看策略作用范围内 MySQL 实例的监控数据。 说明 如果子用户需要查看监控信息,需要为子用户在全局范围内添加该权限。 | |
数据库工作台 | DbwFullAccess | 系统预设策略 | 数据库工作台(DBW)全部管理权限。添加此权限后,用户会拥有策略作用范围内数据库工作台的读写权限,如使用数据交互台功能,使用观测诊断功能等。 说明 拥有 |
自定义策略 除使用上表列出的系统预设策略对子用户进行授权外,也可以通过自定义策略定义更具体的管控策略。关于自定义策略的更多详细信息,请参见策略概述。
选定策略后,可根据需要为用户指定策略的作用范围。
全局:用户获得的权限策略会在全局生效。
指定项目:用户获得的权限策略会在指定项目内生效。
使用主用户账号登录云数据库 MySQL 版控制台,通过右上角个人中心,单击访问控制。
在访问控制>身份管理>用户页面,单击新建用户。
在创建用户页面,选择创建用户的方式。
说明
选择创建用户的方式后,在创建过程中需要为用户添加权限策略和设定策略的生效范围。关于权限的选择,请参见背景信息。