华为云-DAS配置指导
数据管理服务(Data Admin Service,简称DAS),用来登录和操作华为云上数据库的Web服务,提供数据库开发、运维、智能诊断、企业级DevOps一站式云上数据库管理平台,方便用户使用和运维华为云数据库。—— 华为云
目前,DAS服务共有3个版本,简介如下:
| DAS版本 | 面向群体 | 功能描述 |
|---|---|---|
| 标准版 | 面向个体开发 | 无需安装客户端,在线登录数据库,建库、建表、执行SQL |
| 企业版 | 面向企业 | 保障企业数据安全,防止数据泄密与非法访问,避免删库删表恶意操作 |
| 云DBA | 面向DBA&运维人员 | 多种运行数据的展示与分析,助力DBA轻松搞定运维工作 |
注:以下以企业版的配置过程为例。
[TOC]
创建开发账号
1.创建自定义策略 DAS ReadOnlyAccess
- 打开“统一身份认证服务”控制台,点“策略”
- 针对DBA管理推荐系统策略 DAS FullAccess,
不建议使用:DAS Administrator权限,这个会有一些依赖; - 针对开发同事创建策略:DAS ReadOnlyAccess,配置参考如下(具体参考《华为云-DAS授权分类》):
策略名称:DAS ReadOnlyAccess
作用范围:项目级服务
策略配置方式:可视化视图
策略内容:“允许”,云服务选“数据管理服务”,操作选“列表 das:connections:list”,资源选“所有资源”
策略描述:仅限用户申请DAS工单的最小权限
2.创建用户组 das_readonly
- 打开“统一身份认证服务”控制台,点“用户组”
- 针对DBA创建用户组:das_admin,策略选择:DAS FullAccess,描述:管理DAS的用户组
- 针对开发同事创建用户组:das_readonly,策略选择:DAS ReadOnlyAccess,配置参考如下:
用户组名称:das_readonly
用户组描述:仅限用户申请DAS工单的用户组
用户组权限:针对某区设置策略并勾选“DAS ReadOnlyAccess”
3.创建用户
- 打开“统一身份认证服务”控制台,点“用户”
- 创建用户的时候,“所属用户组”请勾选“das_readonly”
- 密码生成方式选择“首次登录时设置”
- 开启登录保护,验证方式选择“邮箱”
4.录入用户
- 打开 DAS控制台,依次进入:[系统管理] -> [用户管理] -> [录入用户],将新建的用户“手动录入”,或点“同步IAM子用户”批量录入。
注:开通企业的时候,默认会同步该企业下的所有IAM子账户为das普通用户,请看修改企业名称的窗口勾选框;
附:重置用户密码
- 若用户忘记密码,管理员可通过如下方式重置密码
基本配置
开通企业版
- 打开 DAS控制台,点击左侧“企业版(企业流程审批)”,再点击右上角“开通企业”按钮。
- 修改 可登录的企业名称 为 xxx
配置审批流程
- 依次进入:[系统管理] -> [审批流程管理] -> [新增审批流程]
录入RDS实例
- 依次进入:[系统管理] -> [实例管理] -> [录入实例],“实例来源”选择“RDS”
- 在录入实例页面,选择实例、配置实例属性、选择审批流程
注意:配置 安全控制项 的时候,不要勾选 [是否允许在SQL窗口中执行DML] 和 [是否允许在SQL窗口中执行DDL],否则普通用户可以跳过审批流程,而直接在SQL窗口执行操作。
录入ECS自建库
- 第一步,依次进入:[DAS控制台] -> 标准版(个人开发工具) -> 新增数据库登录 -> “数据来源”选择“ECS自建库”
- 第二步,依次进入:[系统管理] -> [实例管理] -> [录入实例],“实例来源”选择“ECS”
注意:ECS所属安全组,需要添加mysql端口号到100.125.0.0/16的规则,DAS才能访问ECS自建库。
优化配置
配置OBS桶
- 依次进入:[统一身份认证服务] -> 点开某用户 -> [安全设置] -> [新增访问密钥],获取AK/SK
- 依次进入:[系统管理] -> [全局配置管理] -> [OBS桶]
创建OBS桶:建议取名 obs-das-sqlbackup,作为das自动备份sql变更之用。
启用SQL变更自动备份
- 依次进入:[系统管理] -> [全局配置管理] -> [数据方案],打开 "SQL变更备份默认选项"(默认关闭)
