tencent cloud

TDSQL-C MySQL 版

文档TDSQL-C MySQL 版操作指南账号管理数据库账号设置账号 CAM 验证

设置账号 CAM 验证

Download
聚焦模式
字号
最后更新时间: 2026-04-24 18:05:46
本文为您介绍通过控制台设置账号 CAM 验证相关说明和操作。
说明:
如果您需要开启账号 CAM 验证,请您 提交工单 申请使用。

支持地域

此功能目前支持的地域为:北京、上海、广州。

背景

在使用云数据库的场景中,通常需要为数据库创建独立的账号和密码,并授权给相应的用户进行访问和操作。这种方式的账户管理比较复杂,容易出现账号密码泄露等安全问题。基于以上背景,TDSQL-C MySQL 版支持为账号启用 CAM 验证功能,通过打通腾讯云平台子账号与数据库账号之间的关系以及增加 CAM 凭证的身份验证,简化账号权限管理的复杂度,提升数据库的安全性和账号管理效率。

操作场景

如果用户对安全性有较高要求,可以通过本功能将 CAM 与数据库账号验证相绑定,用户在请求时可获取对应的动态密码来访问数据库,以提升数据库的安全性。我们建议如下两种场景,启用 CAM 验证。
使用 CAM 身份验证作为临时、个人访问数据库的机制时。
仅对可以轻松重试的工作负载使用 CAM 身份验证。

注意事项

请尽可能使用长连接访问数据库。
启用 CAM 验证前需要提前配置好相关 CAM 权限规则。
启用 CAM 验证后不支持修改密码。
root 账号也支持启用 CAM 验证。
关闭 CAM 验证后将无法通过 CAM 获取访问凭证,因此在关闭 CAM 验证时需要输入一个新密码。

功能限制

Serverless 集群暂不支持此功能。
启用 CAM 验证后不支持对该账号进行重置密码操作。
仅支持单个主机地址的账户启用 CAM 验证功能。
若实例先启用了 CAM 验证,则不支持开启 自定义密码强度 功能。
若实例开启了 自定义密码强度 功能,则在启用 CAM 验证后,不支持调整密码强度规则。
若自定义密码强度的密码检查强度等级为 STRONG 时,则不允许开启此功能。

前提条件

创建集群
实例需为预置资源,Serverless 暂不支持此功能。
提交工单 申请使用此功能。
实例状态为运行中。

步骤1:配置 CAM 权限规则

在使用账号 CAM 验证功能之前,用户需要先配置相关的 CAM 权限规则。

策略内容

{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cam:BuildDataFlowAuthToken"
            ],
            "resource": [
                "qcs::cam::uin/<用户 uin>:resourceUser/<实例 ID>/<账号名>"
            ]
        }
    ]
}
<用户 uin>:替换为实际的账号 ID。
<实例 ID>:替换为实际需要授权的实例 ID。
<账号名>:替换为实际需要授权的账号名。

操作指引

1. 使用管理员账号登录访问管理控制台,在 策略 页面,按照策略生成器创建自定义策略(请参见 通过策略生成器创建自定义策略)。

效果:允许。
服务:访问管理(cam)。
操作:其他操作 - BuildDataFlowAuthToken。
资源:特定资源 - 添加资源六段式。
填写资源:<实例 ID>/<账号名>。
2. 单击下一步,自定义策略的名称,并将策略授予目标子账号。
3. 单击完成,完成授权。

步骤2:启用 CAM 验证

启用 CAM 验证分为两种情形,分别是创建账号时启用 CAM 验证和为已有账号启用 CAM 验证,您可按照如下步骤分别操作。
情形1:创建账号时启用 CAM 验证
情形2:为已有账号启用 CAM 验证
1. 登录 TDSQL-C MySQL 版控制台
2. 在左侧集群列表,单击目标集群,进入集群管理页。
3. 在集群管理页面,选择账号管理 > 创建账号,在弹出的对话框填写相关信息,确认无误后单击确定。
说明:
创建账号的操作介绍请参考 创建账号,以下仅介绍开启 CAM 验证相关的步骤。
启用 CAM 验证:打开“启用 CAM 验证”后的按钮,在弹窗下阅读重要提示后单击确定

4. 成功启用 CAM 验证的账号名下会显示“已启用 CAM 验证”。
1. 登录 TDSQL-C MySQL 版控制台
2. 在左侧集群列表,单击目标集群,进入集群管理页。
3. 在集群管理页,选择账号管理
4. 在账号管理页面,找到目标账号,在其操作列单击启用 CAM 验证
5. 在弹窗下阅读重要提示后,单击确定

6. 成功启用 CAM 验证的账号名下会显示“已启用 CAM 验证”。

步骤3:在应用程序通过代码调用获取密码

账号具备了相关 CAM 权限规则,并且启用了 CAM 验证后,用户可在应用程序通过 Java 代码调用来获取密码,从而连接数据库实例。您也可以使用 Python 来连接数据库实例,具体方法请参见 附录1:通过 Python 连接数据库。您还可以使用 go 来连接数据库实例,具体方法请参见 附录2:通过 go 连接数据库
1. 在腾讯云控制台,账号信息 页面,查询账号的 APPID。

2. 访问管理控制台 > API 密钥管理 获取 SecretID 和 SecretKey。
3. 在应用程序使用如下代码。
<dependency>
<groupId>com.tencentcloudapi</groupId>
<artifactId>tencentcloud-dbauth-sdk-java</artifactId>
<version>1.0.4</version>
</dependency>
间接依赖项:tencentcloud-sdk-java 3.1.1039版本及以上。
<dependency>
    <groupId>com.tencentcloudapi</groupId>
    <artifactId>tencentcloud-sdk-java</artifactId>
    <version>3.1.1039</version>
</dependency>
通过代码调用获取密码的示例
package com.tencentcloud.dbauth;
import com.tencentcloudapi.common.Credential;
import com.tencentcloud.dbauth.model.GenerateAuthenticationTokenRequest;
import com.tencentcloudapi.common.exception.TencentCloudSDKException;
import com.tencentcloudapi.common.profile.ClientProfile;
import com.tencentcloudapi.common.profile.HttpProfile;

public class GenerateDBAuthentication {

    public static void main(String[] args) {
        // 定义认证令牌的参数
        String region = "<实例所在地域>";
        String instanceId = "<实例 ID>";
        String userName = "<账号名>";
        // 从环境变量中获取凭证
        Credential credential = new Credential(System.getenv("<TENCENTCLOUD_SECRET_ID>"), System.getenv("<TENCENTCLOUD_SECRET_KEY>"));

        System.out.println(getAuthToken(region, instanceId, userName, credential));
    }

    public static String getAuthToken(String region, String instanceId, String userName, Credential credential) {
        try {
            // 实例化一个 http 选项,可选的,没有特殊需求可以跳过
            HttpProfile httpProfile = new HttpProfile();
            httpProfile.setEndpoint("cam.tencentcloudapi.com");
            // 实例化一个 client 选项,可选的,没有特殊需求可以跳过
            ClientProfile clientProfile = new ClientProfile();
            clientProfile.setHttpProfile(httpProfile);

            // 构建 GenerateAuthenticationTokenRequest
            GenerateAuthenticationTokenRequest tokenRequest = GenerateAuthenticationTokenRequest.builder()
                    .region(region)
                    .credential(credential)
                    .userName(userName)
                    .instanceId(instanceId)
                    .clientProfile(clientProfile) // clientProfile 是可选的
                    .build();

            return DBAuthentication.generateAuthenticationToken(tokenRequest);

        } catch (TencentCloudSDKException e) {
            e.printStackTrace();
        }
        return "";
    }
}
<实例所在地域>:替换为您需要访问的实例所在地域,示例:ap-guangzhou。
<实例 ID>:替换为需要访问的实例 ID。
<账号名>:替换为实际登录的账号名。
<TENCENTCLOUD_SECRET_ID>:替换为从访问管理控制台获取到的 SecretID。
<TENCENTCLOUD_SECRET_KEY>:替换为从访问管理控制台获取到的 SecretKey。

步骤4:使用身份令牌连接 TDSQL-C MySQL 版

步骤3 中获取到身份令牌 AuthToken 后,即可使用身份令牌连接数据库,示例如下。
mysql --host=<IP 地址> --port=<端口号> --user=<账号名> --password=<密码>;
<IP 地址>:替换为您实例的 IP 地址。
<端口号>:替换为您实例的端口号,若未修改过端口号,则默认为3306。
<账号名>:替换为您实际登录的账号名。
<密码>:替换为 步骤3 中获取到的 AuthToken。

使用 Java 代码连接数据库示例

package com.tencentcloud.examples;

import com.tencentcloud.dbauth.DBAuthentication;
import com.tencentcloud.dbauth.model.GenerateAuthenticationTokenRequest;
import com.tencentcloudapi.common.Credential;
import com.tencentcloudapi.common.exception.TencentCloudSDKException;
import com.tencentcloudapi.common.profile.ClientProfile;
import com.tencentcloudapi.common.profile.HttpProfile;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;

public class CAMDatabaseAuthenticationTester {
    public static void main(String[] args) throws Exception {
        // 定义连接所需的变量
        String region = "ap-guangzhou";
        String instanceId = "cynosdb-123456";
        String userName = "test";
        String host = "192.*.*.11";
        int port = 3306;
        String dbName = "mysql";
        String secretId = System.getenv("TENCENTCLOUD_SECRET_ID");
        String secretKey = System.getenv("TENCENTCLOUD_SECRET_KEY");

        // 获取连接
        Connection connection = getDBConnectionUsingCAM(secretId, secretKey, region,
                instanceId, userName, host, port, dbName);

        // 验证连接是否成功
        Statement stmt = connection.createStatement();
         ResultSet rs = stmt.executeQuery("SELECT 'Success!';");
        while (rs.next()) {
            String id = rs.getString(1);
            System.out.println(id); // 应打印 "Success!"
        }

        // 关闭连接
        stmt.close();
        connection.close();
    }

    /**
     * 使用 CAM 数据库认证获取数据库连接
     *
     * @param secretId   密钥 ID
     * @param secretKey  密钥
     * @param region     地区
     * @param instanceId 实例 ID
     * @param userName   用户名
     * @param host       主机
     * @param port       端口
     * @param dbName     数据库名称
     * @return Connection 对象
     * @throws Exception 异常
     */
    private static Connection getDBConnectionUsingCAM(
            String secretId, String secretKey, String region, String instanceId, String userName,
            String host, int port, String dbName) throws Exception {

        // 从 secretId 和 secretKey 获取凭证
        Credential credential = new Credential(secretId, secretKey);

        // 定义最大尝试次数
        int maxAttempts = 3;
        Exception lastException = null;
        for (int attempt = 1; attempt <= maxAttempts; attempt++) {
            try {
                // 使用凭证获取认证令牌
                String authToken = getAuthToken(region, instanceId, userName, credential);

                String connectionUrl = String.format("jdbc:mysql://%s:%d/%s", host, port, dbName);
                return DriverManager.getConnection(connectionUrl, userName, authToken);
            } catch (Exception e) {
                lastException = e;
                System.out.println("Attempt " + attempt + " failed.");
                Thread.sleep(5000);
            }
        }
        System.out.println("All attempts failed. error: " + lastException.getMessage());
        throw lastException;
    }

    /**
     * 获取认证令牌
     *
     * @param region     区域
     * @param instanceId 实例 ID
     * @param userName   用户名
     * @param credential 凭证
     * @return 认证令牌
     */
    private static String getAuthToken(String region, String instanceId, String userName, Credential credential) throws TencentCloudSDKException {
        // 实例化一个 http 选项,可选的,没有特殊需求可以跳过
        HttpProfile httpProfile = new HttpProfile();
        httpProfile.setEndpoint("cam.tencentcloudapi.com");
        // 实例化一个 client 选项,可选的,没有特殊需求可以跳过
        ClientProfile clientProfile = new ClientProfile();
        clientProfile.setHttpProfile(httpProfile);

        // 构建 GenerateAuthenticationTokenRequest
        GenerateAuthenticationTokenRequest tokenRequest = GenerateAuthenticationTokenRequest.builder()
                .region(region)
                .credential(credential)
                .userName(userName)
                .instanceId(instanceId)
                .clientProfile(clientProfile) // clientProfile 是可选的
                .build();

        return DBAuthentication.generateAuthenticationToken(tokenRequest);
    }
}

密码轮转周期

当账号启用 CAM 验证功能后,其密码轮转周期默认为24小时,暂不支持修改

刷新密码

当账号启用 CAM 验证功能后,可以通过刷新密码操作来更新密码。例如密码轮转周期默认为24小时更换一次密码,则在未到达轮转周期之前,可以通过刷新密码操作来立即更新密码。
注意:
注意刷新密码后,当前登录凭证会失效,需要观察业务访问数据库状态是否符合预期。
1. 登录 TDSQL-C MySQL 版控制台
2. 在左侧集群列表,单击目标集群,进入集群管理页。
3. 在集群管理页,选择账号管理
4. 在账号管理页面,找到目标账号,在其操作列单击更多 > 刷新密码
5. 在弹窗下阅读风险提示后,单击确定


关闭 CAM 验证

注意:
关闭 CAM 验证后无法通过 CAM 获取访问凭证,请及时更新密码。
1. 登录 TDSQL-C MySQL 版控制台
2. 在左侧集群列表,单击目标集群,进入集群管理页。
3. 在集群管理页,选择账号管理
4. 在账号管理页面,找到目标账号,在其操作列单击更多 > 关闭 CAM 验证
5. 在弹窗下输入新密码并确认密码后单击确定


附录1:通过 Python 连接数据库

1. 在腾讯云控制台,账号信息 页面,查询账号的 APPID。

2. 访问管理控制台 > API 密钥管理 获取 SecretID 和 SecretKey。
3. 通过 pip 安装方式将腾讯云数据库 CAM Python SDK 安装到您的项目中。请在命令行中执行以下命令:
  pip install git+https://github.com/TencentCloud/dbauth-sdk-python.git
请注意,如果同时有 python2 和 python3 环境,python3 环境需要使用 pip3 命令安装。
间接依赖项:tencentcloud-sdk-python 3.0.1224版本及以上。

使用 Python 连接数据库示例

import logging
import os
import time

import pymysql
from dbauth.db_authentication import DBAuthentication
from dbauth.model.generate_authentication_token_request import GenerateAuthenticationTokenRequest
from tencentcloud.common import credential
from tencentcloud.common.exception.tencent_cloud_sdk_exception import TencentCloudSDKException
from tencentcloud.common.profile.client_profile import ClientProfile
from tencentcloud.common.profile.http_profile import HttpProfile

# 配置 root logger
logging.basicConfig(
    level=logging.INFO,
    format='[%(asctime)s] - [%(threadName)s] - {%(module)s:%(funcName)s:%(lineno)d} %(levelname)s - %(message)s',
    datefmt='%Y-%m-%d %H:%M:%S'
)
log = logging.getLogger(__name__)


def main():
    region = "ap-guangzhou"
    instance_id = "cynosdb-123456"
    user_name = "camtest"
    host = "192.*.*.11"
    port = 3306
    db_name = "test"
    secret_id = os.environ['AK']
    secret_key = os.environ['SK']

    connection = None
    try:
        # 获取连接
        connection = get_db_connection_using_cam(secret_id, secret_key, region,
                                                 instance_id, user_name, host, port, db_name)

        # 验证连接是否成功
        with connection.cursor() as cursor:
            cursor.execute("SELECT 'Success!';")
            result = cursor.fetchone()
            log.info(result[0])  # 应该打印 "Success!"
    except Exception as e:
        log.error(f"An error occurred: {e}")
    finally:
        if connection and connection.open:
            connection.close()


def get_db_connection_using_cam(secret_id, secret_key, region, instance_id, user_name, host, port, db_name):
    cred = credential.Credential(secret_id, secret_key)

    max_attempts = 3
    last_exception = None
    for attempt in range(1, max_attempts + 1):
        try:
            auth_token = get_auth_token(region, instance_id, user_name, cred)

            connection = pymysql.connect(
                host=host,
                port=port,
                user=user_name,
                password=auth_token,
                database=db_name
            )
            return connection
        except Exception as e:
            last_exception = e
            log.info(f"Attempt {attempt} failed.")
            time.sleep(5)

    log.error(f"All attempts failed. error: {last_exception}")
    raise last_exception


def get_auth_token(region, instance_id, user_name, cred):
    try:
        # 实例化一个 http 选项,可选的,没有特殊需求可以跳过
        http_profile = HttpProfile()
        http_profile.endpoint = "cam.tencentcloudapi.com"

        # 实例化一个 client 选项,可选的,没有特殊需求可以跳过
        client_profile = ClientProfile()
        client_profile.httpProfile = http_profile

        request = GenerateAuthenticationTokenRequest(
            region=region,
            instance_id=instance_id,
            user_name=user_name,
            credential=cred,
            client_profile=client_profile,  # 可选
        )
        return DBAuthentication.generate_authentication_token(request)
    except TencentCloudSDKException as err:
        log.error(err)
        raise


if __name__ == "__main__":
    main()


附录2:通过 go 连接数据库

依赖环境:go 1.17版本及以上。
间接依赖项:tencentcloud-sdk-go v1.0.1015版本及以上。
1. 在腾讯云控制台,账号信息 页面,查询账号的 APPID。

2. 访问管理控制台 > API 密钥管理 获取 SecretID 和 SecretKey。
3. 请在命令行中执行以下命令:
go get -v -u github.com/tencentcloud/dbauth-sdk-go

使用 go 连接数据库示例

package main

import (
	"database/sql"
	"fmt"
	"os"
	"time"

	_ "github.com/go-sql-driver/mysql"
	"github.com/sirupsen/logrus"
	"github.com/tencentcloud/dbauth-sdk-go/dbauth"
	"github.com/tencentcloud/dbauth-sdk-go/dbauth/model"
	"github.com/tencentcloud/tencentcloud-sdk-go/tencentcloud/common"
	"github.com/tencentcloud/tencentcloud-sdk-go/tencentcloud/common/profile"
)

func init() {
	logrus.SetOutput(os.Stdout)
	logrus.SetFormatter(&logrus.TextFormatter{FullTimestamp: true})
	logrus.SetLevel(logrus.InfoLevel)
}

func main() {
	// 定义数据库连接参数
	region := "ap-guangzhou"
	instanceId := "cynosdb-123456"
	userName := "camtest"
	host := "192.*.*.11"
	port := 3306
	dbName := "test"
	ak := os.Getenv("TENCENTCLOUD_SECRET_ID")
	sk := os.Getenv("TENCENTCLOUD_SECRET_KEY")

	// 获取连接
	connection, err := getDBConnectionUsingCam(ak, sk, region, instanceId, userName, host, port, dbName)
	if err != nil {
		logrus.Error("Failed to get connection:", err)
		return
	}

	// 验证连接是否成功
	stmt, err := connection.Query("SELECT 'Success!';")
	if err != nil {
		logrus.Error("Failed to execute query:", err)
		return
	}
	for stmt.Next() {
		var result string
		stmt.Scan(&result)
		logrus.Info(result) // Success!
	}

	// 关闭连接
	if err := stmt.Close(); err != nil {
		logrus.Error("Failed to close statement:", err)
	}
	if err := connection.Close(); err != nil {
		logrus.Error("Failed to close connection:", err)
	}
}

// 使用 CAM 获取数据库连接
func getDBConnectionUsingCam(secretId, secretKey, region, instanceId, userName, host string, port int, dbName string) (*sql.DB, error) {
	credential := common.NewCredential(secretId, secretKey)
	maxAttempts := 3
	var lastErr error

	for attempt := 1; attempt <= maxAttempts; attempt++ {
		// 获取认证 Token
		authToken, err := getAuthToken(region, instanceId, userName, credential)
		if err != nil {
			return nil, err
		}

		connectionUrl := fmt.Sprintf("%s:%s@tcp(%s:%d)/%s", userName, authToken, host, port, dbName)
		db, err := sql.Open("mysql", connectionUrl)
		if err != nil {
			lastErr = err
			logrus.Warnf("Open connection failed. Attempt %d failed.", attempt)
			time.Sleep(5 * time.Second)
			continue
		}
		if err = db.Ping(); err != nil {
			lastErr = err
			logrus.Warnf("Ping failed. Attempt %d failed.", attempt)
			time.Sleep(5 * time.Second)
			continue
		}
		return db, nil
	}

	logrus.Error("All attempts failed. error:", lastErr)
	return nil, lastErr
}

// 获取认证 Token
func getAuthToken(region, instanceId, userName string, credential *common.Credential) (string, error) {
	// 实例化一个 client 选项,可选的,没有特殊需求可以跳过
	cpf := profile.NewClientProfile()
	cpf.HttpProfile.Endpoint = "cam.tencentcloudapi.com"
	// 创建一个 GenerateAuthenticationTokenRequest 对象,ClientProfile 是可选的
	tokenRequest, err := model.NewGenerateAuthenticationTokenRequest(region, instanceId, userName, credential, cpf)
	if err != nil {
		logrus.Errorf("Failed to create GenerateAuthenticationTokenRequest: %v", err)
		return "", err
	}

	return dbauth.GenerateAuthenticationToken(tokenRequest)
}
上一篇: 创建账号下一篇: 简介

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈