- 动态与公告
- 产品动态
- 公告
- 【2024年04月01日】数据库代理商业化计费公告
- 【2023年07月12日】云数据库 MySQL 审计服务更新公告
- 【2023年05月07日】新增鉴权接口公告
- 【2023年03月31日】接口鉴权升级公告
- 【2023年03月31日】下线云数据库 MySQL 接口服务
- 【2023年02月17日和20日】上海地域监控模块升级
- 【2022年12月09日】监控指标修正公告
- 【2022年11月09日】网络架构升级公告
- 【2022年11月30日】查询数据库可售卖规格接口变更
- 【2022年11月17日】替换云数据库 MySQL 原有数据库代理的部分接口服务
- 【2022年07月01日】新增高级监控指标
- 【2022年05月31日】监控指标内存利用率计算公式变更
- 【2022年05月11日】广州和上海地域监控模块升级优化
- 【2022年03月25日】监控模块升级
- 【2021年12月08日】参数模板及新购实例优化
- 【2021年04月01日】binlog 使用空间计入磁盘总使用空间说明
- 新手指引
- 产品简介
- 自研内核 TXSQL
- 购买指南
- 快速入门
- 数据库审计
- 操作指南
- 最佳实践
- 白皮书
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Instance APIs
- StopCpuExpand
- StartCpuExpand
- DescribeCpuExpandStrategy
- AddTimeWindow
- BalanceRoGroupLoad
- CloseWanService
- CreateDBInstance
- CreateDBInstanceHour
- CreateRoInstanceIp
- DeleteTimeWindow
- DescribeCdbZoneConfig
- DescribeDBFeatures
- DescribeDBInstanceCharset
- DescribeDBInstanceConfig
- DescribeDBInstanceGTID
- DescribeDBInstanceInfo
- DescribeDBInstanceRebootTime
- DescribeDBSwitchRecords
- DescribeRoGroups
- DescribeRoMinScale
- DescribeTagsOfInstanceIds
- DescribeTimeWindow
- InitDBInstances
- IsolateDBInstance
- ModifyAutoRenewFlag
- ModifyDBInstanceName
- ModifyDBInstanceProject
- ModifyDBInstanceVipVport
- ModifyInstanceTag
- ModifyRoGroupInfo
- ModifyTimeWindow
- OfflineIsolatedInstances
- OpenDBInstanceEncryption
- OpenDBInstanceGTID
- OpenWanService
- ReleaseIsolatedDBInstances
- RenewDBInstance
- RestartDBInstances
- StartReplication
- StopReplication
- SwitchDBInstanceMasterSlave
- SwitchDrInstanceToMaster
- SwitchForUpgrade
- UpgradeDBInstance
- UpgradeDBInstanceEngineVersion
- DescribeDBInstances
- DescribeDBZoneConfig
- CreateDeployGroup
- DeleteDeployGroups
- DescribeDeployGroupList
- ModifyNameOrDescByDpId
- Data Import APIs
- Database Proxy APIs
- AdjustCdbProxy
- AdjustCdbProxyAddress
- CloseCdbProxyAddress
- CreateCdbProxy
- CreateCdbProxyAddress
- DescribeCdbProxyInfo
- DescribeProxySupportParam
- ModifyCdbProxyAddressDesc
- ModifyCdbProxyAddressVipAndVPort
- ModifyCdbProxyParam
- CloseCDBProxy
- DescribeProxyCustomConf
- ReloadBalanceProxyNode
- SwitchCDBProxy
- UpgradeCDBProxyVersion
- Database Audit APIs
- Security APIs
- Task APIs
- Account APIs
- Backup APIs
- DescribeBackupDecryptionKey
- CreateBackup
- DeleteBackup
- DescribeBackupDownloadRestriction
- DescribeBackupEncryptionStatus
- DescribeBackupOverview
- DescribeBackupSummaries
- DescribeBinlogBackupOverview
- DescribeDataBackupOverview
- DescribeLocalBinlogConfig
- DescribeRemoteBackupConfig
- DescribeSlowLogs
- ModifyBackupDownloadRestriction
- ModifyBackupEncryptionStatus
- ModifyLocalBinlogConfig
- ModifyRemoteBackupConfig
- DescribeBackups
- DescribeBackupConfig
- ModifyBackupConfig
- DescribeBinlogs
- Rollback APIs
- Parameter APIs
- Database APIs
- Monitoring APIs
- Log-related API
- Data Types
- Error Codes
- 常见问题
- 通用参考
- 词汇表
- 联系我们
- 预置插件列表
- 动态与公告
- 产品动态
- 公告
- 【2024年04月01日】数据库代理商业化计费公告
- 【2023年07月12日】云数据库 MySQL 审计服务更新公告
- 【2023年05月07日】新增鉴权接口公告
- 【2023年03月31日】接口鉴权升级公告
- 【2023年03月31日】下线云数据库 MySQL 接口服务
- 【2023年02月17日和20日】上海地域监控模块升级
- 【2022年12月09日】监控指标修正公告
- 【2022年11月09日】网络架构升级公告
- 【2022年11月30日】查询数据库可售卖规格接口变更
- 【2022年11月17日】替换云数据库 MySQL 原有数据库代理的部分接口服务
- 【2022年07月01日】新增高级监控指标
- 【2022年05月31日】监控指标内存利用率计算公式变更
- 【2022年05月11日】广州和上海地域监控模块升级优化
- 【2022年03月25日】监控模块升级
- 【2021年12月08日】参数模板及新购实例优化
- 【2021年04月01日】binlog 使用空间计入磁盘总使用空间说明
- 新手指引
- 产品简介
- 自研内核 TXSQL
- 购买指南
- 快速入门
- 数据库审计
- 操作指南
- 最佳实践
- 白皮书
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Instance APIs
- StopCpuExpand
- StartCpuExpand
- DescribeCpuExpandStrategy
- AddTimeWindow
- BalanceRoGroupLoad
- CloseWanService
- CreateDBInstance
- CreateDBInstanceHour
- CreateRoInstanceIp
- DeleteTimeWindow
- DescribeCdbZoneConfig
- DescribeDBFeatures
- DescribeDBInstanceCharset
- DescribeDBInstanceConfig
- DescribeDBInstanceGTID
- DescribeDBInstanceInfo
- DescribeDBInstanceRebootTime
- DescribeDBSwitchRecords
- DescribeRoGroups
- DescribeRoMinScale
- DescribeTagsOfInstanceIds
- DescribeTimeWindow
- InitDBInstances
- IsolateDBInstance
- ModifyAutoRenewFlag
- ModifyDBInstanceName
- ModifyDBInstanceProject
- ModifyDBInstanceVipVport
- ModifyInstanceTag
- ModifyRoGroupInfo
- ModifyTimeWindow
- OfflineIsolatedInstances
- OpenDBInstanceEncryption
- OpenDBInstanceGTID
- OpenWanService
- ReleaseIsolatedDBInstances
- RenewDBInstance
- RestartDBInstances
- StartReplication
- StopReplication
- SwitchDBInstanceMasterSlave
- SwitchDrInstanceToMaster
- SwitchForUpgrade
- UpgradeDBInstance
- UpgradeDBInstanceEngineVersion
- DescribeDBInstances
- DescribeDBZoneConfig
- CreateDeployGroup
- DeleteDeployGroups
- DescribeDeployGroupList
- ModifyNameOrDescByDpId
- Data Import APIs
- Database Proxy APIs
- AdjustCdbProxy
- AdjustCdbProxyAddress
- CloseCdbProxyAddress
- CreateCdbProxy
- CreateCdbProxyAddress
- DescribeCdbProxyInfo
- DescribeProxySupportParam
- ModifyCdbProxyAddressDesc
- ModifyCdbProxyAddressVipAndVPort
- ModifyCdbProxyParam
- CloseCDBProxy
- DescribeProxyCustomConf
- ReloadBalanceProxyNode
- SwitchCDBProxy
- UpgradeCDBProxyVersion
- Database Audit APIs
- Security APIs
- Task APIs
- Account APIs
- Backup APIs
- DescribeBackupDecryptionKey
- CreateBackup
- DeleteBackup
- DescribeBackupDownloadRestriction
- DescribeBackupEncryptionStatus
- DescribeBackupOverview
- DescribeBackupSummaries
- DescribeBinlogBackupOverview
- DescribeDataBackupOverview
- DescribeLocalBinlogConfig
- DescribeRemoteBackupConfig
- DescribeSlowLogs
- ModifyBackupDownloadRestriction
- ModifyBackupEncryptionStatus
- ModifyLocalBinlogConfig
- ModifyRemoteBackupConfig
- DescribeBackups
- DescribeBackupConfig
- ModifyBackupConfig
- DescribeBinlogs
- Rollback APIs
- Parameter APIs
- Database APIs
- Monitoring APIs
- Log-related API
- Data Types
- Error Codes
- 常见问题
- 通用参考
- 词汇表
- 联系我们
- 预置插件列表
默认情况下,子用户没有使用 MySQL 数据库审计的权利。因此用户就需要创建策略来允许子用户使用数据库审计。
若您不需要对子用户进行 MySQL 数据库审计相关资源的访问管理,您可以忽略此文档。
访问管理(Cloud Access Management,CAM)是腾讯云提供的一套 Web 服务,主要用于帮助用户安全管理腾讯云账号下资源的访问权限。通过 CAM,您可以创建、管理和销毁用户(组),并通过身份管理和策略管理控制指定用户可以使用的腾讯云资源。
给子用户授权
1. 以主账号身份登录 访问管理控制台,在用户列表选择对应子用户,单击授权。
2. 在弹出的对话框,选择 QcloudCDBFullAccess 云数据库(CDB)全读写访问权限或 QcloudCDBInnerReadOnlyAccess 云数据库(CDB)只读访问权限预设策略,单击确定,即可完成子用户授权。
说明:
MySQL 数据库审计是 MySQL 数据库的子模块,因此上述 MySQL 的两个权限预设策略即涵盖了 MySQL 数据库审计所需的权限策略。如果子用户仅需要 MySQL 数据库审计所需的权限,可参考 自定义 MySQL 数据库审计策略。
策略语法
MySQL 数据库审计的 CAM 策略描述如下:
{"version":"2.0","statement":[{"effect":"effect","action":["action"],"resource":["resource"]}]}
版本 version:必填项,目前仅允许值为"2.0"。
语句 statement:用来描述一条或多条权限的详细信息。该元素包括 effect、action、resource 等多个其他元素的权限或权限集合。一条策略有且仅有一个 statement 元素。
影响 effect:必填项,描述声明产生的结果是“允许”还是“显式拒绝”。包括 allow(允许)和 deny(显式拒绝)两种情况。
操作 action:必填项,用来描述允许或拒绝的操作。操作可以是 API(以 name 前缀描述)或者功能集(一组特定的 API ,以 permid 前缀描述)。
资源 resource:必填项,描述授权的具体数据。
API 操作
在 CAM 策略语句中,您可以从支持 CAM 的任何服务中指定任意的 API 操作。对于数据库审计,请使用以 name/cdb: 为前缀的 API 。如果您要在单个语句中指定多个操作,请使用逗号将它们隔开,如下所示:
"action":["name/cdb:action1","name/cdb:action2"]
您也可以使用通配符指定多项操作。例如,您可以指定名字以单词"Describe"开头的所有操作,如下所示:
"action":["name/cdb:Describe*"]
资源路径
资源路径的一般形式如下:
qcs::service_type::account:resource
service_type:产品简称,此处为 cdb。
account:资源拥有者的主账号信息,如 uin/326xxx46。
resource:产品的具体资源详情,每个 MySQL 实例(instanceId)就是一个资源。
示例如下:
"resource": ["qcs::cdb::uin/326xxx46:instanceId/cdb-kf291vh3"]
其中,cdb-kf291vh3 是 MySQL 实例资源的 ID,在这里是 CAM 策略语句中的资源 resource。
示例
{"version": "2.0","statement": [{"effect": "allow","action": ["name/cdb: DescribeAuditRules"],"resource": ["*"]},{"effect": "allow","action": ["name/cdb: CreateAuditPolicy"],"resource": ["*"]},{"effect": "allow","action": ["name/cdb: DescribeAuditLogFiles"],"resource": ["qcs::cdb::uin/326xxx46:instanceId/cdb-kf291vh3"]}]}
自定义 MySQL 数据库审计策略
1. 以主账号身份登录 访问管理控制台,在策略列表,单击新建自定义策略。
2. 在弹出的对话框,选择按策略生成器创建。
3. 在选择服务和操作页面,选择各项配置,单击下一步。
效果(Effect):选择允许或拒绝。如果选择拒绝,则用户或用户组不能获取授权。
服务(Service):选择云数据库 MySQL(cdb)。
操作(Action):选择 MySQL 数据库审计的所有 API,请参见 API 文档。
资源(Resource):请参见 资源描述方式,选择全部资源,表示可以操作所有 MySQL 实例的审计日志。
条件(Condition):选填,设置上述授权的生效条件。
4. 在关联用户/用户组/角色页面,按命名规范,输入“策略名称”(例如 SQLAuditFullAccess)和“描述”后,单击完成。
5. 返回策略列表,即可查看刚创建的自定义策略。
是
否
本页内容是否解决了您的问题?