动态与公告

产品动态

产品公告

新手指引

产品简介

产品概述

产品优势

应用场景

数据库架构

隔离策略

经济型实例

产品功能列表

数据库实例

高可用性（多可用区）

地域和可用区

自研内核

内核概述

内核版本更新动态

功能类特性

性能类特性

安全类特性

稳定类特性

TXRocks 引擎

内核问题检查与修复

购买指南

计费概述

选型指南

购买方式

续费说明

欠费说明

退费说明

按量转包年包月

调整实例费用说明

备份空间收费说明

数据库审计计费说明

数据库代理商业化计费和活动说明

数据库代理计费周期说明

查看费用账单

快速入门

入门概述

创建 MySQL 实例

连接 MySQL 实例

SQL 洞察（原数据库审计）

数据库审计简介

查看审计实例列表

开通审计服务

查看审计日志

日志投递

配置事后告警

修改审计规则

修改审计服务

关闭审计服务

审计规则模板

SQL 审计规则（旧版）

查看审计任务

授权子用户使用数据库审计

MySQL 云盘版

MySQL 云盘版概述

创建 MySQL 云盘版实例

维护管理实例

查看实例监控

调整实例配置

其他功能相关操作

迁移或升级至 MySQL 云盘版

操作指南

使用限制

操作总览

维护管理实例

升级实例

CPU 弹性扩容

只读/灾备实例

数据库代理

数据库管理（DMC）

账号管理

参数配置

备份与回档

数据迁移

网络与安全

监控与告警

日志中心

只读分析引擎

标签

实践教程

腾讯云 MySQL 帮助实现 MySQL 5.7升级至 MySQL 8.0

MySQL 5.6升级到 MySQL 5.7方法和说明

云数据库 MySQL 数据库审计等保实践

构建全场景高可用架构

云数据库 MySQL 使用规范

应用程序配置自动重连功能

MySQL 主实例参数修改的影响

MyISAM 自动转换为 InnoDB 引擎限制

为云数据库 MySQL 创建 VPC

使用云数据库 MySQL 提高业务负载能力

两地三中心灾备建设

读写分离扩展云数据库 MySQL 性能

使用 DTS 将 InnoDB 数据迁移至 RocksDB

构建 LAMP 堆栈 Web 应用程序

构建 Drupal 网站

通过 Python 语言使用 MySQL API

主备实例查询数据不一致

白皮书

性能白皮书

安全白皮书

故障处理

连接相关

性能相关

实例数据同步延迟

设置大小写不敏感失败

通过命令获取 slow_query_log_file 失败

API 文档

History

Introduction

API Category

Instance APIs

调用方式

Data Import APIs

Database Proxy APIs

数据库审计相关接口

Security APIs

Task APIs

Backup APIs

Account APIs

Rollback APIs

Parameter APIs

Database APIs

Monitoring APIs

Log-related API

Data Types

Error Codes

常见问题

选型相关

计费相关

备份相关

回档相关

连接登录

参数修改

升级相关

账号权限

性能内存

运维相关

数据迁移

功能特性

控制台相关

日志相关

事件相关

数据库审计

实例切换影响

API 2.0 切换 3.0 指引

授权子用户使用数据库审计

PDF

聚焦模式

字号

最后更新时间： 2024-12-31 15:57:20

默认情况下，子用户没有使用 MySQL 数据库审计的权利。因此用户就需要创建策略来允许子用户使用数据库审计。
若您不需要对子用户进行 MySQL 数据库审计相关资源的访问管理，您可以忽略此文档。
﻿访问管理（Cloud Access Management，CAM）是腾讯云提供的一套 Web 服务，主要用于帮助用户安全管理腾讯云账号下资源的访问权限。通过 CAM，您可以创建、管理和销毁用户（组），并通过身份管理和策略管理控制指定用户可以使用的腾讯云资源。
当您使用 CAM 的时候，可以将策略与一个用户或一组用户关联起来，策略能够授权或者拒绝用户使用指定资源完成指定任务。有关 CAM 策略的更多基本信息，请参见 策略语法。
给子用户授权
1. 以主账号身份登录 访问管理控制台，在用户列表选择对应子用户，单击授权。
﻿
2. 在弹出的对话框，选择 QcloudCDBFullAccess 云数据库（CDB）全读写访问权限或 QcloudCDBInnerReadOnlyAccess 云数据库（CDB）只读访问权限预设策略，单击确定，即可完成子用户授权。
说明：
MySQL 数据库审计是 MySQL 数据库的子模块，因此上述 MySQL 的两个权限预设策略即涵盖了 MySQL 数据库审计所需的权限策略。如果子用户仅需要 MySQL 数据库审计所需的权限，可参考 自定义 MySQL 数据库审计策略。
﻿
策略语法
MySQL 数据库审计的 CAM 策略描述如下：
{     
        "version":"2.0", 
        "statement": 
        [ 
           { 
              "effect":"effect", 
              "action":["action"], 
              "resource":["resource"]
           } 
       ] 
} 
版本 version：必填项，目前仅允许值为"2.0"。
语句 statement：用来描述一条或多条权限的详细信息。该元素包括 effect、action、resource 等多个其他元素的权限或权限集合。一条策略有且仅有一个 statement 元素。
影响 effect：必填项，描述声明产生的结果是“允许”还是“显式拒绝”。包括 allow（允许）和 deny（显式拒绝）两种情况。
操作 action：必填项，用来描述允许或拒绝的操作。操作可以是 API（以 name 前缀描述）或者功能集（一组特定的 API ，以 permid 前缀描述）。
资源 resource：必填项，描述授权的具体数据。
API 操作
在 CAM 策略语句中，您可以从支持 CAM 的任何服务中指定任意的 API 操作。对于数据库审计，请使用以 name/cdb: 为前缀的 API 。如果您要在单个语句中指定多个操作，请使用逗号将它们隔开，如下所示：
"action":["name/cdb:action1","name/cdb:action2"]
您也可以使用通配符指定多项操作。例如，您可以指定名字以单词"Describe"开头的所有操作，如下所示：
"action":["name/cdb:Describe*"]
资源路径
资源路径的一般形式如下：
qcs::service_type::account:resource
service_type：产品简称，此处为 cdb。
account：资源拥有者的主账号信息，如 uin/326xxx46。
resource：产品的具体资源详情，每个 MySQL 实例（instanceId）就是一个资源。
示例如下：
 "resource": ["qcs::cdb::uin/326xxx46:instanceId/cdb-kf291vh3"]
其中，cdb-kf291vh3 是 MySQL 实例资源的 ID，在这里是 CAM 策略语句中的资源 resource。
示例
以下示例仅为展示 CAM 用法，MySQL 数据库审计的完整 API 请参见 API 文档。
{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "name/cdb: DescribeAuditRules"
            ],
            "resource": [
                "*"
            ]
        },
        {
            "effect": "allow",
            "action": [
                "name/cdb: CreateAuditPolicy"
            ],
            "resource": [
                "*"
            ]
        },
﻿
        {
            "effect": "allow",
            "action": [
                "name/cdb: DescribeAuditLogFiles"
            ],
            "resource": [
                "qcs::cdb::uin/326xxx46:instanceId/cdb-kf291vh3"
            ]
        }
    ]
}
自定义 MySQL 数据库审计策略
1. 以主账号身份登录 访问管理控制台，在策略列表，单击新建自定义策略。
﻿
2. 在弹出的对话框，选择按策略生成器创建。
3. 在选择服务和操作页面，选择各项配置，单击下一步。
效果(Effect)：选择允许或拒绝。如果选择拒绝，则用户或用户组不能获取授权。
服务(Service)：选择云数据库 MySQL（cdb）。
操作(Action)：选择 MySQL 数据库审计的所有 API，请参见 API 文档。
资源(Resource)：请参见 资源描述方式，选择全部资源，表示可以操作所有 MySQL 实例的审计日志。
条件(Condition)：选填，设置上述授权的生效条件。
﻿
4. 在关联用户/用户组/角色页面，按命名规范，输入“策略名称”（例如 SQLAuditFullAccess）和“描述”后，单击完成。
﻿
﻿
5. 返回策略列表，即可查看刚创建的自定义策略。