DRDS 账号和权限系统的用法跟 MySQL 一致,支持 GRANT、REVOKE、SHOW GRANTS、CREATE USER、DROP USER、SET PASSWORD 等语句,目前支持库级和表级权限的授予,全局级别和列级别权限暂时不支持。
MySQL 账号和权限系统的详细信息请参考 MySQL 官方文档。
注意:DRDS 里通过 CREATE USER 创建出来的账号只存在于 DRDS,跟 RDS 没有任何关系,也不会同步到后端的 RDS 中去。
账号
用户名和主机名的组合 username@'host' 确定一个账号。用户名一样但是主机名不一样则代表不同的账号。例如 lily@30.9.73.96 和 lily@30.9.73.100 是两个完全不同的账号,这两个账号的密码和权限都可能不一样。
在 DRDS 控制台创建完数据库之后,系统会自动在该数据库下创建两个系统账号:管理员账号和只读账号。这两个账号是系统内置的,不能删除,不能修改其权限。
管理员账号的名字跟数据库名一致,比如数据库名是 easydb,管理员账号的名字就叫 easydb。
只读账号的名字是数据库名加上 _RO 后缀,比如数据库名是 easydb,只读账号的名字就叫 easydb_RO。
假设有两个数据库 dreamdb、andordb,根据上面的规则可知,库 dreamdb 下面包含管理员账号 dreamdb,只读账号 dreamdb_RO;库 andordb 下面包含管理员账号 andordb,只读账号 andordb_RO。
账号规则
管理员账号具有所有权限;
只有管理员账号具有创建账号和授权功能;其它账号只能由管理员账号创建,其权限只能由管理员账号授予;
管理员账号是跟数据库绑定的,没有其它数据库的权限,连接的时候只能连接自己对应的那个数据库,不能授予其它数据库的权限给某个账号。例如 easydb 这个管理员账号只能连接 easydb 数据库,只能授予 easydb 数据库权限或者 easydb 数据库中表的权限给某个账号;
只读账号只具有 SELECT 权限。
用户名规则
大小写不敏感;
长度必须大于等于4个字符,小于等于20个字符;
必须以字母开头;
字符可以包括大写字母、小写字母、数字。
密码规则
长度必须大于等于6个字符,小于等于20个字符;
字符可以包括大写字母、小写字母、数字、特殊字符(@#$%^&+=)。
HOST 匹配规则
HOST 必须是纯 IP 地址,可以包含 _ 和 % 通配符( _ 代表一个字符,% 代表0个或多个字符)。含有通配符的 HOST 需要加上单引号,例如 lily@’30.9.%.%’,david@’%’;
假设系统中有两个用户都符合当前欲登录的用户,则以最长前缀匹配(不包含通配符的最长 IP 段)的那个用户为准。例如系统有两个用户 david@'30.9.12_.234' 和 david@'30.9.1%.234',在主机 30.9.127.234 上面登录 david,则使用的是 david@'30.9.12_.234'这个用户。
开启 VPC 时,主机的 IP 地址会发生变化。为避免账号和权限系统中的配置无效,请将 HOST 配置为 ‘%’ 来匹配任意 IP。
权限
权限级别支持情况
全局层级(暂不支持)
数据库层级(支持)
表层级(支持)
列层级(暂不支持)
子程序层级(暂不支持)
权限项
目前支持和表相关联的8个基本权限项:CREATE、DROP、ALTER、INDEX、INSERT、DELETE、UPDATE、SELECT。
TRUNCATE 操作需要有表上的 DROP 权限;
REPLACE 操作需要有表上的 INSERT 和 DELETE 权限;
CREATE INDEX 和 DROP INDEX 操作需要有表上的 INDEX 权限;
CREATE SEQUENCE 需要有数据库级的创建表(CREATE)权限;
DROP SEQUENCE 需要有数据库级的删除表(DROP)权限;
ALTER SEQUENCE 需要有数据库级的更改表(ALTER)权限;
INSERT ON DUPLICATE UPDATE 语句需要有表上的 INSERT 和 UPDATE 权限。
权限规则
权限是绑定到账号(username@’host’),不是绑定到用户名(username);
授权的时候会判断表是否存在,不存在则报错;
数据库权限级别从高到低依次是:全局级别权限(暂不支持)、数据库级别权限、表级别权限、列级别权限。高级别权限的授予会覆盖低级别权限,移除高级别权限的同时也会移除低级别权限;
不支持 USAGE 授权。
1. 创建账号(CREATE USER)语句
语法规则:
CREATE USER user_specification [, user_specification] ...
user_specification: user [ auth_option ]
auth_option: IDENTIFIED BY 'auth_string'
例如:
创建一个名为 lily,只能从 30.9.73.96 登录的账号,密码为123456。
CREATE USER lily@30.9.73.96 IDENTIFIED BY '123456';
创建一个名为 david,可以从任意主机登录的账号,密码为空。
CREATE USER david@'%';
2. 删除账号(DROP USER)语句
语法规则:
DROP USER user [, user] ...
例如:
移除账号 lily@30.9.73.96。
DROP USER lily@30.9.73.96;
3. 修改账号密码(SET PASSWORD)语句
语法规则:
SET PASSWORD FOR user = password_option
password_option: {
PASSWORD('auth_string')
}
例如:
修改账号 lily@30.9.73.96 的密码为123456。
SET PASSWORD FOR lily@30.9.73.96 = PASSWORD('123456')
4. 授权权限(GRANT)语句
语法规则:
GRANT
priv_type[, priv_type] ...
ON priv_level
TO user_specification [, user_specification] ...
[WITH GRANT OPTION]
priv_level: {
| db_name.*
| db_name.tbl_name
| tbl_name
}
user_specification:
user [ auth_option ]
auth_option: {
IDENTIFIED BY 'auth_string'
}
注意:GRANT 语句里面的账号如果不存在,同时又没有提供 IDENTIFIED BY 信息,则报账号不存在异常;如果提供了 IDENTIFIED BY 信息,则会创建该账号同时授权。
例如:
在数据库 easydb 下面,创建一个用户名为 david,可以在任意主机登录,具有 easydb 数据库所有权限的账号。
方法1:先创建账号,再授权。
CREATE USER david@'%' IDENTIFIED BY 'your_password';
GRANT ALL PRIVILEGES ON easydb.* to david@'%';
方法2:一条语句完成创建账号和授权两个操作。
GRANT ALL PRIVILEGES ON easydb.* to david@'%' IDENTIFIED BY 'your_password';
在数据库 easydb 下面,创建一个用户名为 hanson,可以在任意主机登录,具有 easydb.employees 表所有权限的账号。
GRANT ALL PRIVILEGES ON easydb.employees to hanson@'%' IDENTIFIED BY 'your_password';
在数据库 easydb 下面,创建一个用户名为 hanson,只能在 192.168.3.10 登录,具有 easydb.emp 表的 INSERT 和 SELECT 权限的账号。
GRANT INSERT,SELECT ON easydb.emp to hanson@'192.168.3.10' IDENTIFIED BY 'your_password';
在数据库 easydb 下面创建一个只读账号 actro,可以在任意主机登录。
GRANT SELECT ON easydb.* to actro@'%' IDENTIFIED BY 'your_password';
5. 回收权限(REVOKE)语句
语法规则:
删除账号的权限
删除账号在某个权限级别下的权限项,具体权限级别由 priv_level 指定。
REVOKE
priv_type
[, priv_type] ...
ON priv_level
FROM user [, user] ...
删除账号的所有权限
删除账号在系统内(数据库级别和表级别的)的所有权限项。
REVOKE ALL PRIVILEGES, GRANT OPTION
FROM user [, user] ...
例如:
删除 hanson@’%’ 在 easydb.emp 表的 CREATE、DROP、INDEX 权限。
REVOKE CREATE,DROP,INDEX ON easydb.emp FROM hanson@'%';
删掉账号 lily@30.9.73.96 的所有权限。
REVOKE ALL PRIVILEGES,GRANT OPTION FROM lily@30.9.73.96;
注意:为了兼容 MySQL,需同时写上 GRANT OPTION。
6. 查看授权(SHOW GRANTS)语句
语法规则:
SHOW GRANTS[ FOR user@host];
查询所有的授权
SHOW GRANTS
查询针对某个账号的授权情况
SHOW GRANTS FOR user@host;
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。