如何建立資料庫帳號,高許可權帳號與普通帳號的區別 - PolarDB

本文為您介紹如何建立和管理PolarDB MySQL版資料庫帳號，以及高許可權帳號與普通帳號的區別。

背景資訊

PolarDB支援高許可權帳號和普通帳號這兩種資料庫帳號，您可以在控制台管理所有帳號。

說明

出於安全原因，PolarDB不提供root帳號。

帳號類型	說明
高权限账号	只能通過控制台建立和管理。一個叢集只能有一個高許可權帳號，可以管理叢集中所有的普通帳號和資料庫。可以建立資料庫和普通帳號，並且把某個資料庫授權給某個普通帳號，從而使該普通帳號有許可權在該資料庫中進行增刪改查。開放了更多許可權，可滿足個人化和精細化的許可權管理需求，例如可為不同使用者指派不同表的查詢許可權。可以斷開任意帳號的串連。
普通账号	可以通過控制台或者SQL語句建立和管理。一個叢集可以建立多個普通帳號，具體的數量與資料庫核心有關。無建立資料庫和普通帳號的許可權，只能管理被授權的資料庫。不能管理其他帳號，也不能斷開其他帳號的串連。
全域唯讀帳號	可以通過控制台或者SQL語句建立和管理。不能進行資料庫的建立和管理。無建立資料庫和普通帳號的許可權，只能查看資料庫。一個叢集可以建立多個全域唯讀帳號，預設具備所有資料的唯讀許可權。不能管理其他帳號，也不能斷開其他帳號的串連。

建立高許可權帳號

登入PolarDB控制台，選擇叢集所在地區，在叢集列表中單擊目的地組群ID進入詳情頁。
在左側導覽列中，選擇配置与管理 > 账号管理。
單擊创建账号。

在创建账号面板，設定以下參數：

參數	說明
账号名	填寫帳號名稱。帳號名稱需符合如下要求：以小寫字母開頭，以字母或數字結尾。由小寫字母、數字或底線組成。長度為2~32個字元。不能使用某些預留的使用者名稱，如root、admin等。
账号类型	此處選擇高权限账号。說明如果已經建立過高許可權帳號，則無法再選擇高权限账号，因為每個叢集只能有一個高許可權帳號。高許可權帳號的對應許可權，請參見高許可權帳號。
密码	設定帳號的密碼。密碼需符合如下要求：至少包含大寫字母、小寫字母、數字或特殊字元中的任意三種。長度為8~32個字元。特殊字元為： !@#$%^&*()_+-=~
确认密码	再次輸入密碼。
备注说明	備忘該帳號的相關資訊，便於後續帳號管理。要求如下：不能以`http://`或`https://`開頭。長度為2~256個字元。

單擊确定。

建立普通帳號

登入PolarDB控制台，選擇叢集所在地區，在叢集列表中單擊目的地組群ID進入詳情頁。
在左側導覽列中，選擇配置与管理 > 账号管理。
單擊创建账号。

在创建账号面板，設定以下參數：

參數	說明
账号名	填寫帳號名稱。帳號名稱需符合如下要求：以小寫字母開頭，以字母或數字結尾。由小寫字母、數字或底線組成。長度為2~32個字元。不能使用某些預留的使用者名稱，如root、admin等。
账号类型	此處選擇普通账号。
授权数据库	為該帳號授予一個或多個資料庫的許可權。本參數也可以留空，在建立帳號後再給帳號授權。從未授权数据库列表中選擇一個或多個資料庫，單擊表徵圖將其添加到已授权数据库列表中。在已授权数据库列表中，為目標資料庫選擇读写、只读、仅DML、仅DDL或只读+索引許可權。說明如果您需要自訂各種權限類別型組合或授予某些表層級許可權等，請單擊未授权数据库列表下方的自定义权限，通過Data Management推出的資料庫帳號許可權管理功能進行靈活管控，詳情請參見管理資料庫帳號及帳號許可權。如果您需要管理的資料庫數量較多，建議分批進行授權管理，每批資料庫數量不超過80個。
密码	設定帳號的密碼。密碼需符合如下要求：至少包含大寫字母、小寫字母、數字或特殊字元中的任意三種。長度為8~32個字元。特殊字元為： !@#$%^&*()_+-=~
确认密码	再次輸入密碼。
备注说明	備忘該帳號的相關資訊，便於後續帳號管理。要求如下：不能以`http://`或`https://`開頭。長度為2~256個字元。

單擊确定。

建立全域唯讀帳號

登入PolarDB控制台，選擇叢集所在地區，在叢集列表中單擊目的地組群ID進入詳情頁。
在左側導覽列中，選擇配置与管理 > 账号管理。
單擊创建账号。

在创建账号面板，設定以下參數：

參數	說明
账号名	填寫帳號名稱。帳號名稱需符合如下要求：以小寫字母開頭，以字母或數字結尾。由小寫字母、數字或底線組成。長度為2~32個字元。不能使用某些預留的使用者名稱，如root、admin等。
账号类型	此處選擇全域唯讀帳號。
授权数据库	預設具備所有資料的唯讀許可權。
密码	設定帳號的密碼。密碼需符合如下要求：至少包含大寫字母、小寫字母、數字或特殊字元中的任意三種。長度為8~32個字元。特殊字元為： !@#$%^&*()_+-=~
确认密码	再次輸入密碼。
备注说明	備忘該帳號的相關資訊，便於後續帳號管理。要求如下：不能以`http://`或`https://`開頭。長度為2~256個字元。

重設高許可權帳號的許可權

如果高許可權帳號自身出現問題，例如許可權被意外回收（REVOKE ），您可以通過重設高許可權帳號的許可權，使其恢複到初始狀態。

登入PolarDB控制台，選擇叢集所在地區，在叢集列表中單擊目的地組群ID進入詳情頁。
在左側導覽列中，選擇配置与管理 > 账号管理。
單擊目標帳號操作欄中的重置权限。
在彈出的對話方塊中，輸入高許可權帳號的密碼，單擊确定即可重設該帳號的許可權。

修改普通帳號許可權

登入PolarDB控制台，選擇叢集所在地區，在叢集列表中單擊目的地組群ID進入詳情頁。
在左側導覽列中，單擊配置与管理 > 账号管理。
找到目標帳號，單擊操作欄中的修改权限。
在修改許可權對話方塊中，修改授權資料庫以及修改已授權資料庫的許可權，單擊确定。

修改全域唯讀帳號許可權

登入PolarDB控制台，選擇叢集所在地區，在叢集列表中單擊目的地組群ID進入詳情頁。
在左側導覽列中，單擊配置与管理 > 账号管理。
找到目標帳號，單擊操作欄中的修改权限。
在修改許可權對話方塊中，修改授權資料庫以及修改已授權資料庫的許可權，單擊确定。
說明
- 授權特定資料庫的讀寫權限不影響全域唯讀帳號授權的全域唯讀許可權。
- 為特定資料庫授權後，類型列仍然顯示為全域唯讀帳號，而所屬資料庫列則顯示特定資料庫的許可權。

通過命令列修改帳號許可權

您可以使用高許可權帳號通過如下命令列修改許可權。

GRANT privileges ON databasename.tablename TO 'username'@'host' WITH GRANT OPTION;

參數	說明
privileges	授予該帳號的操作許可權，如SELECT、INSERT、UPDATE等，如果要授予該帳號所有許可權，則使用ALL。說明如果對所有資料庫的所有表授權了SELECT、LOCK TABLES、SHOW VIEW許可權，而沒有授予其他寫入權限，則帳號將顯示為全域唯讀帳號。
databasename	資料庫名。如果要授予該帳號具備所有資料庫的操作許可權，則使用星號（*）。
tablename	表名。如果要授予該帳號具備所有表的操作許可權，則使用星號（*）。
username	待授權的帳號。
host	允許該帳號登入的主機。如果允許該帳號從任意主機登入，則使用百分比符號（%）。說明建立自訂登入帳號未使用百分比符號（%），如需刪除，需使用高許可權系統帳號登入DMS控制台，執行刪除被授權帳號的相關操作。
WITH GRANT OPTION	授予該帳號使用GRANT命令的許可權，該參數為可選。

刪除帳號

登入PolarDB控制台，選擇叢集所在地區，在叢集列表中單擊目的地組群ID進入詳情頁。
在左側導覽列中，單擊配置与管理 > 账号管理。
找到目標帳號，單擊操作欄中的删除。
在刪除帳號對話方塊中，單擊确定。

API	描述
CreateAccount	建立帳號。
DescribeAccounts	查看帳號列表。
ModifyAccountDescription	修改帳號備忘。
ModifyAccountPassword	修改帳號密碼。
GrantAccountPrivilege	帳號授權。
RevokeAccountPrivilege	撤銷帳號許可權。
ResetAccount	重設帳號許可權。

PolarDB：建立和管理資料庫帳號

背景資訊

建立高許可權帳號

建立普通帳號

建立全域唯讀帳號

重設高許可權帳號的許可權

修改普通帳號許可權

修改全域唯讀帳號許可權

通過命令列修改帳號許可權

刪除帳號

相關API