数据库引擎和版本 RDS for PostgreSQL目前支持的数据库引擎和版本如表1所示。 表1 数据库引擎和版本 数据库引擎 单机实例 主备实例 PostgreSQL 17（如需购买17版本的实例，请提交工单申请。） 16 15 14 13 12 11（不支持购买，仅存量经营） 10（不支持购买，仅存量经营） 9.6（不支持购买，仅存量经营） 9.5（不支持购买，仅存量经营） 17（如需购买17版本的实例，请提交工单申请。） 16 15 14 13 12 11（不支持购买，仅存量经营） 10（不支持购买，仅存量经营） 9.6（不支持购买，仅存量经营） 父主题： 实例说明

与其他服务的关系 关系型数据库与其他服务之间的关系，具体如下图所示。 图1 关系型数据库与其他服务的关系示意图 表1 与其他服务的关系 相关服务 交互功能 弹性云服务器（E CS ） 通过弹性云服务器（Elastic Cloud Server，简称ECS）远程连接云数据库RDS实例可以有效地降低应用响应时间、节省公网流量费用。 虚拟私有云（VPC） 对您的云数据库RDS实例进行网络隔离和访问控制。 对象存储服务 （OBS） 存储云数据库RDS实例的自动和手动备份数据。 云监控服务 （Cloud Eye） 云监控 服务是一个开放性的监控平台，帮助用户实时监测云数据库RDS资源的动态。云监控服务提供多种告警方式以保证及时预警，为您的服务正常运行保驾护航。 云审计 服务（ CTS ） 云审计服务（Cloud Trace Service，简称CTS），为用户提供云服务资源的操作记录，供您查询、审计和回溯使用。 数据库安全服务（DBSS） 数据库前端使用数据库安全服务(Database Security Service，简称DBSS)，多种策略防止数据库被攻击，持久保护云上数据库安全。 分布式缓存服务（DCS） 分布式缓存服务（Distributed Cache Service，简称DCS）通过将热点数据放入缓存，加快用户端的访问速度，提升用户体验。 数据复制服务 （DRS） 使用数据复制服务，实现数据库平滑迁移上云。 数据管理服务（DAS） 使用数据管理服务，通过专业优质的可视化操作界面，提高数据管理工作的效率和安全。

实例操作限制 表5 实例操作限制 限制项 说明 实例部署 实例所部署的弹性云服务器，对用户都不可见，即只允许应用程序通过IP地址和端口访问数据库。 数据迁移 云数据库RDS for PostgreSQL提供了多种数据同步方案，可满足从RDS for PostgreSQL、自建PostgreSQL数据库、其他云PostgreSQL、自建Oracle数据库、RDS for MySQL、自建MySQL数据库、或其他云MySQL同步到云数据库RDS for PostgreSQL。 常用的数据迁移工具有：DRS、pg_dump、DAS。推荐使用DRS，DRS可以快速解决多场景下，数据库之间的数据流通问题，操作便捷、简单，仅需分钟级就能搭建完成迁移任务。通过服务化迁移，免去了传统的DBA人力成本和硬件成本，帮助您降低数据传输的成本。 更多信息，请参见迁移方案总览。 主备复制 RDS for PostgreSQL本身提供主备复制架构的双节点集群，无需用户手动搭建。其中主备复制架构集群的备实例不对用户开放，用户应用不可直接访问。 CPU使用率高 CPU使用率很高或接近100%，会导致数据读写处理缓慢、连接缓慢、删除出现报错等，从而影响业务正常运行。 解决办法请参见排查RDS for PostgreSQL CPU使用率高的原因和解决方法。 重启实例 无法通过命令行重启，必须通过云数据库RDS服务的管理控制台操作重启实例。 停止/开启实例 支持对按需计费实例进行关机，通过暂时停止实例以节省费用。更多信息，请参见停止实例。 在停止数据库实例后，支持手动重新开启实例。 查看备份 下载手动和自动备份文件，用于本地存储备份。支持使用OBS Browser+下载、直接浏览器下载、按地址下载备份文件。 更多信息，请参见下载全量备份文件。 日志管理 RDS for PostgreSQL默认开启日志，不支持关闭。 回收站管理 支持将退订后的包年包月实例和删除的按需实例，加入回收站管理。通过数据库回收站中重建实例功能，可以恢复1~7天内删除的实例。

root用户权限说明 RDS for PostgreSQL开放了root用户权限。为了便于用户使用RDS for PostgreSQL并保证在无操作风险的前提下，为root用户在特定场景进行了提权。 各个版本root用户提权情况见下表。 表6 root用户权限说明 版本 是否提权 提权起始版本 pgcore9 否 不涉及 pgcore10 否 不涉及 pgcore11 是 11.11 pgcore12 是 12.6 pgcore13 是 13.2 pgcore14 是 14.4 pgcore15 是 15.4 pgcore16 是 16.2 root提权涉及以下场景： 创建事件触发器 创建包装器 创建逻辑复制-发布 创建逻辑复制-订阅 查询和维护复制源 创建replication用户 创建全文索引模板以及Parser 对系统表执行vacuum 对系统表执行analyze 创建插件 授予用户某个对象的权限

规格与性能限制 表1 规格说明 资源类型 规格 说明 存储空间 SSD云盘：40GB~4000GB 极速型SSD：40GB~4000GB - 最大连接数 取决于“max_connections”参数的值。 更多信息，请参见RDS数据库实例支持的最大数据连接数是多少。 IOPS SSD云盘：最大50000 极速型SSD：最大128000 SSD云盘和极速型SSD支持的IOPS取决于云硬盘（Elastic Volume Service，简称EVS）的IO性能，具体请参见《云硬盘产品介绍》中“磁盘类型及性能介绍”中“超高IO”和“极速型SSD”的内容。

安全限制 表4 安全限制 限制项 说明 管理员账户root权限 创建实例页面只提供管理员root账户，RDS for PostgreSQL为root用户在特定场景进行了提权，详见root用户权限说明。 管理员账户root的密码 长度为8~32个字符。 至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入~!@#%^*-_=+?,特殊字符。 更多信息，请参见重置管理员密码和root账号权限。 数据库端口 设置范围为2100～9500。 更多信息，请参见修改数据库端口。 磁盘加密 购买磁盘加密后，在实例创建成功后不可修改磁盘加密状态，且无法更改密钥。 更多信息，请参见服务端加密。 虚拟私有云 目前RDS实例创建完成后不支持切换虚拟私有云。 安全组 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 目前一个RDS实例允许绑定多个安全组，一个安全组可以关联多个RDS实例。 创建实例时，可以选择多个安全组（为了更好的网络性能，建议不超过5个）。更多信息，请参见修改实例安全组。 系统账户 创建RDS for PostgreSQL数据库实例时，系统会自动为实例创建如下系统账户（用户不可使用），用于给数据库实例提供完善的后台运维管理服务。 rdsAdmin：管理账户，拥有最高权限，用于查询和修改实例信息、故障排查、迁移、恢复等操作。 pg_execute_server_program：允许用运行该数据库的用户执行数据库服务器上的程序来配合COPY和其他允许执行服务器端程序的函数。 pg_read_all_settings：读取所有配置变量。 pg_read_all_stats：读取所有的pg_stat_*视图并且使用与扩展相关的各种统计信息。 pg_stat_scan_tables：执行可能会在表上取得AC CES S SHARE锁的监控函数（可能会持锁很长时间）。 pg_signal_backend：向其他后端发送信号（例如：取消查询、中止）。 pg_read_server_files：允许使用COPY以及其他文件访问函数从服务器上该数据库可访问的任意位置读取文件。 pg_write_server_files：允许使用COPY以及其他文件访问函数在服务器上该数据库可访问的任意位置中写入文件。 pg_monitor：读取/执行各种监控视图和函数。这个角色是pg_read_all_settings、pg_read_all_stats以及pg_stat_scan_tables的成员。 rdsRepl：复制账户，用于备实例或只读实例在主实例上同步数据。 rdsBackup：备份账户，用于后台的备份。 rdsMetric：指标监控账户，用于watchdog采集数据库状态数据。 实例参数 为确保云数据库RDS服务发挥出最优性能，可根据业务需求对用户创建的参数模板中的参数进行调整。 更多信息，请参见RDS for PostgreSQL参数调优建议。

配额 表2 配额 资源类型 限制 说明 只读实例 1个实例最多创建5个只读实例。 更多信息，请参见只读实例简介。 标签 1个实例最多支持20个标签配额。 更多信息，请参见标签。 免费备份空间 RDS提供了和实例磁盘大小相同的部分免费存储空间，用于存放您的备份数据。 免费的存储空间是在收取了数据盘的存储空间费用后赠送的，更多信息，请参见RDS的备份是如何收费的。 自动备份保留天数 默认为7天，可设置范围为1～732天。 更多信息，请参见设置同区域备份策略。 日志查询 错误日志明细：2000条 慢日志明细：2000条 更多信息，请参见日志管理。

命名限制 表3 命名限制 限制项 说明 实例名称 长度最小为4字符，最大为64个字符，如果名称包含中文，则不超过64字节（注意：一个中文字符占用3个字节）。 必须以字母或中文开头，区分大小写，可以包含字母、数字、中划线、下划线或中文，不能包含其他特殊字符。 数据库名称 长度可在1～63个字符之间 由字母、数字、或下划线组成，不能包含其他特殊字符，不能以“pg”和数字开头，且不能和RDS for PostgreSQL模板库重名。RDS for PostgreSQL模板库包括postgres， template0 ，template1。 账号名称 长度在1到128个字符之间。 由字母、数字、中划线或下划线组成，不能包含其他特殊字符，不能和系统用户名称相同。系统用户包括：rdsadmin, rdsuser, rdsbackup, rdsmirror。 备份名称 长度在4~64个字符之间。 必须以字母开头，区分大小写，可以包含字母、数字、中划线或者下划线，不能包含其他特殊字符。 参数模板名称 长度在1~64个字符之间。 区分大小写，可包含字母、数字、中划线、下划线或句点，不能包含其他特殊字符。

易管理 创建使用 您可以通过控制台界面实时生成目标实例，云数据库RDS服务配合弹性云服务器一起使用，通过内网连接云数据库RDS可以有效地降低应用响应时间、节省公网流量费用。 弹性扩容 可以根据您的业务情况弹性伸缩所需的资源，按需开支，量身定做。配合云监控（Cloud Eye）监测数据库压力和数据存储量的变化，您可以灵活调整实例规格。 完全兼容 您无需再次学习，云数据库RDS各引擎的操作方法与原生数据库引擎的完全相同。云数据库RDS还兼容现有的程序和工具。使用数据复制服务（Data Replication Service，简称DRS），可用极低成本将数据迁移到云上数据库，享受华为云数据库为您带来的超值服务。 运维便捷 RDS的日常维护和管理，包括但不限于软硬件故障处理、数据库补丁更新等工作，保障云数据库RDS运转正常。云数据库RDS提供专业数据库管理平台，重启、重置密码、参数修改、查看错误日志和慢日志、恢复数据等一键式功能。提供CPU利用率、IOPS、连接数、磁盘空间等实例信息实时监控及告警，让您随时随地了解实例动态。

高安全性 网络隔离 通过虚拟私有云（Virtual Private Cloud，简称VPC）和网络安全组实现网络隔离。虚拟私有云允许租户通过配置虚拟私有云入站IP范围，来控制连接数据库的IP地址段。云数据库RDS实例运行在租户独立的虚拟私有云内，可提升云数据库RDS实例的安全性。您可以综合运用子网和安全组的配置，来完成云数据库RDS实例的隔离。 访问控制 通过主/子账号和安全组实现访问控制。创建云数据库RDS实例时，云数据库RDS服务会为租户同步创建一个数据库主账号，根据需要创建数据库实例和数据库子账号，将数据库对象赋予数据库子账号，从而达到权限分离的目的。可以通过虚拟私有云对云数据库RDS实例所在的安全组入站、出站规则进行限制，从而控制可以连接数据库的网络范围。 传输加密 通过TLS加密、SSL加密实现传输加密。使用从服务控制台上下载的CA根证书，并在连接数据库时提供该证书，对数据库服务端进行认证并达到加密传输的目的。 存储加密 云数据库RDS服务支持对存储到数据库中的 数据加密 后存储。 数据删除 删除云数据库RDS实例时，存储在数据库实例中的数据都会被删除。安全删除不仅包括数据库实例所挂载的磁盘，也包括自动备份数据的存储空间。删除的实例可以通过保留的手动备份恢复实例数据，也可以使用回收站保留期内的实例通过重建实例恢复数据。 安全防护 云数据库RDS处于多层防火墙的保护之下，可以有力地抗击各种恶意攻击，保证数据安全，防御DDoS攻击、防SQL注入等。建议用户通过内网访问云数据库RDS实例，可使云数据库RDS实例免受DDoS攻击风险。

高可靠性 双机热备 云数据库RDS服务采用热备架构，故障秒级自动切换。 数据备份 每天自动备份数据，备份都是以压缩包的形式自动存储在对象存储服务（Object Storage Service，简称OBS）。备份文件保留732天，支持一键式恢复。用户可以设置自动备份的周期，还可以根据自身业务特点随时发起备份，选择备份周期、修改备份策略。 数据恢复 支持按备份集和指定时间点的恢复。在大多数场景下，用户可以将732天内任意一个时间点的数据恢复到云数据库RDS新实例或已有实例上，数据验证无误后即可将数据迁回云数据库RDS主实例，完成数据回溯。 RDS支持将删除的主备或者单机实例，加入回收站管理。您可以在回收站中重建实例恢复数据，可以恢复1~7天内删除的实例。 数据可靠 数据持久性高达99.9999999%，保证数据安全可靠，保护您的业务免受故障影响。

RDS与自建数据库优势对比 表1 优势对比 项目 云数据库RDS 自购服务器搭建数据库服务 服务可用性 请参见弹性云服务器的优势。 需要购买额外设备，自建主从，自建RAID。 数据可靠性 请参见什么是云硬盘。 需要购买额外设备，自建主从，自建RAID。 数据库备份 支持自动备份，手动备份，自定义备份存储周期。 需要购买设备，并自行搭建设置和后期维护。 软硬件投入 无需投入软硬件成本，按需购买，弹性伸缩。 数据库服务器成本相对较高。 系统托管 无需托管。 需要自购2U服务器设备，如需实现主从，购买两台服务器，并进行自建。 维护成本 无需运维。 需要投入大量人力成本，招聘专业的DBA进行维护。 部署扩容 弹性扩容，快速升级，按需开通。 需采购和原设备匹配的硬件，需托管机房的配合，需部署设备，整体周期较长。

高性能 性能优化 华为云多年的数据库研发、搭建和维护经验，结合数据库云化改造技术，大幅优化传统数据库，为您打造更高可用、更高可靠、更高安全、更高性能、便捷运维、弹性伸缩的华为云数据库服务。 优质的硬件基础 华为云关系型数据库使用的是华为经过多年的研究、创新和开发，通过多重考验的服务器硬件，为用户带来稳定的、高性能数据库服务。 SQL优化方案 关系型数据库提供慢SQL检测，用户可以根据关系型数据库服务提出的优化建议进行代码优化。 高速访问 关系型数据库可以配合同一地域的弹性云服务器一起使用，通过内网通信，缩短应用响应时间，同时节省公网流量费用。 性能白皮书 RDS for PostgreSQL性能白皮书

RDS权限 默认情况下，管理员创建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 RDS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问RDS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对RDS服务，管理员能够控制IAM用户仅能对某一类数据库资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，RDS支持的API授权项请参见策略及授权项说明。 如表1所示，包括了RDS的所有系统权限。 表1 RDS系统策略 策略名称/系统角色 描述 类别 依赖关系 RDS FullAccess 关系型数据库服务所有权限。 系统策略 购买包周期实例需要配置授权项： bss:order:update bss:order:pay 如果要使用存储空间自动扩容功能，IAM子账号需要添加如下授权项： 创建自定义策略： iam:agencies:listAgencies iam:agencies:createAgency iam:permissions:listRolesForAgencyOnProject iam:permissions:grantRoleToGroupOnProject iam:roles:listRoles iam:roles:createRole 添加系统角色：Security Administrator 选择该用户所在的一个用户组。 单击“授权”。 添加Security Administrator系统角色。 创建 RAM 共享KMS密钥的包周期实例，依赖IAM权限点： iam:agencies:listAgencies iam:roles:listRoles iam:agencies:pass iam:agencies:createAgency iam:permissions:grantRoleToAgency 其中RDS FullAccess已包含iam:agencies:listAgencies、iam:roles:listRoles、iam:agencies:pass权限。 由于RDS是Region级服务，而IAM是Global级服务，将RDS FullAccess授权给项目时，需要再授权BSS ServiceAgencyReadPolicy（全局级服务）；如果将RDS FullAccess授权给全部项目，可正常使用IAM权限。 BSS ServiceAgencyCreatePolicy包含其他操作权限：iam:agencies:createAgency、iam:permissions:grantRoleToAgency。 RDS ReadOnlyAccess 关系型数据库服务资源只读权限。 系统策略 无。 RDS ManageAccess 关系型数据库服务除删除操作外的DBA权限。 系统策略 无。 RDS Administrator 关系型数据库服务管理员。 系统角色 依赖Tenant Guest和Server Administrator角色，在同项目中勾选依赖的角色。 仅添加RDS Administrator权限后，如果要使用存储空间自动扩容功能，IAM子账号需要添加的授权项请参见表3中的存储空间自动扩容的说明。 表2列出了RDS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 RDS FullAccess RDS ReadOnlyAccess RDS ManageAccess RDS Administrator 创建RDS实例 √ x √ √ 删除RDS实例 √ x x √ 查询RDS实例列表 √ √ √ √ 表3 常用操作与对应授权项 操作名称 授权项 备注 创建数据库实例 rds:instance:create rds:param:list 界面选择VPC、子网、安全组需要配置： vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:securityGroupRules:get 创建加密实例需要在项目上配置KMS Administrator权限。 购买包周期实例需要配置： bss:order:update bss:order:pay 变更数据库实例的规格 rds:instance:modifySpec 无。 扩容数据库实例的磁盘空间 rds:instance:extendSpace 无。 单机转主备实例 rds:instance:singleToHa 若原单实例为加密实例，需要在项目上配置KMS Administrator权限。 重启数据库实例 rds:instance:restart 无。 删除数据库实例 rds:instance:delete 无。 查询数据库实例列表 rds:instance:list 无。 实例详情 rds:instance:list 实例详情界面展示VPC、子网、安全组，需要对应配置vpc:*:get和vpc:*:list。 修改数据库实例密码 rds:password:update 无。 修改端口 rds:instance:modifyPort 无。 修改内网IP rds:instance:modifyIp 界面查询剩余ip列表需要： vpc:subnets:get vpc:ports:get 修改实例名称 rds:instance:modify 无。 修改运维时间窗 rds:instance:modify 无。 手动主备倒换 rds:instance:switchover 无。 修改同步模式 rds:instance:modifySynchronizeModel 无。 切换策略 rds:instance:modifyStrategy 无。 修改实例安全组 rds:instance:modifySecurityGroup 无。 绑定/解绑公网IP rds:instance:modifyPublicAccess 界面列出公网ip需要： vpc:publicIps:get vpc:publicIps:list 设置回收站策略 rds:instance:setRecycleBin 无。 查询回收站 rds:instance:list 无。 开启、关闭SSL rds:instance:modifySSL 无。 开启、关闭事件定时器 rds:instance:modifyEvent 无。 读写分离操作 rds:instance:modifyProxy 无。 申请内网 域名 rds:instance:createDns 无。 备机可用区迁移 rds:instance:create 备机迁移涉及租户子网下的IP操作，若为加密实例，需要在项目上配置KMS Administrator权限。 表级时间点恢复 rds:instance:tableRestore 无。 修改主机权限 rds:instance:modifyHost 无。 查询对应账号下的主机 rds:instance:list 无。 获取参数模板列表 rds:param:list 无。 创建参数模板 rds:param:create 无。 修改参数模板参数 rds:param:modify 无。 应用参数模板 rds:param:apply 无。 修改指定实例的参数 rds:param:modify 无。 获取指定实例的参数模板 rds:param:list 无。 获取指定参数模板的参数 rds:param:list 无。 删除参数模板 rds:param:delete 无。 重置参数模板 rds:param:reset 无。 对比参数模板 rds:param:list 无。 保存参数模板 rds:param:save 无。 查询参数模板类型 rds:param:list 无。 设置自动备份策略 rds:instance:modifyBackupPolicy 无。 查询自动备份策略 rds:instance:list 无。 创建手动备份 rds:backup:create 无。 获取备份列表 rds:backup:list 无。 获取备份下载链接 rds:backup:download 无。 删除手动备份 rds:backup:delete 无。 复制备份 rds:backup:create 无。 查询可恢复时间段 rds:instance:list 无。 恢复到新实例 rds:instance:create 界面选择VPC、子网、安全组需要配置： vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:securityGroupRules:get 恢复到已有或当前实例 rds:instance:restoreInPlace 无。 获取实例binlog清理策略 rds:binlog:get 无。 合并binlog文件 rds:binlog:merge 无。 下载binlog文件 rds:binlog:download 无。 删除binlog文件 rds:binlog:delete 无。 设置binlog清理策略 rds:binlog:setPolicy 无。 获取数据库备份文件列表 rds:backup:list 无。 获取历史数据库列表 rds:backup:list 无。 查询数据库错误日志 rds:log:list 无。 查询数据库慢日志 rds:log:list 无。 下载数据库错误日志 rds:log:download 无。 下载数据库慢日志 rds:log:download 无。 开启、关闭审计日志 rds:auditlog:operate 无。 获取审计日志列表 rds:auditlog:list 无。 查询审计日志策略 rds:auditlog:list 无。 生成审计日志下载链接 rds:auditlog:download 无。 获取主备切换日志 rds:log:list 无。 创建数据库 rds:database:create 无。 查询数据库列表 rds:database:list 无。 查询指定用户的已授权数据库 rds:database:list 无。 删除数据库 rds:database:drop 无。 创建数据库账户 rds:databaseUser:create 无。 查询数据库账户列表 rds:databaseUser:list 无。 查询指定数据库的已授权账户 rds:databaseUser:list 无。 删除数据库账户 rds:databaseUser:drop 无。 授权数据库账户 rds:databasePrivilege:grant 无。 解除数据库账户权限 rds:databasePrivilege:revoke 无。 任务中心列表 rds:task:list 无。 删除任务中心任务 rds:task:delete 无。 包周期下单 bss:order:update 购买包周期实例需要配置授权项： bss:order:pay 用户标签操作 rds:instance:modify 标签相关操作依赖tms:resourceTags:*权限。 存储空间自动扩容 rds:instance:extendSpace 如果选择自动扩容，IAM主账号不需要添加授权项，IAM子账号需要添加如下授权项： 创建自定义策略： iam:agencies:listAgencies iam:agencies:createAgency iam:permissions:listRolesForAgencyOnProject iam:permissions:grantRoleToGroupOnProject iam:roles:listRoles iam:roles:createRole 添加系统角色：Security Administrator 选择该用户所在的一个用户组。 单击“授权”。 添加Security Administrator系统角色。 停止实例、开启实例 rds:instance:operateServer 无。 停止实例 rds:instance:stop 无。 开启实例 rds:instance:start 无。 修改数据库用户名备注 rds:databaseUser:update 无。

审计 云审计服务（Cloud Trace Service，CTS） CTS是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录RDS的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 CTS支持追踪的RDS for PostgreSQL管理事件和数据事件列表，请参见支持审计的关键操作列表。 数据库安全服务（Database Security Service，DBSS） DBSS是一个智能的数据库安全服务，基于机器学习机制和大数据分析技术，提供数据库审计，SQL注入攻击检测，风险操作识别等功能，保障云上数据库的安全。 建议使用DBSS来提供扩展的数据安全能力，详情请参考数据库安全服务。 优势： 助力企业满足等保合规要求。 满足等保测评数据库审计需求。 满足国内外安全法案合规需求，提供满足数据安全标准（例如Sarbanes-Oxley）的合规报告。 支持备份和恢复数据库审计日志，满足审计数据保存期限要求。 支持风险分布、会话统计、会话分布、SQL分布的实时监控能力。 提供风险行为和攻击行为实时告警能力，及时响应数据库攻击。 帮助您对内部违规和不正当操作进行定位追责，保障数据资产安全。 数据库安全审计采用数据库旁路部署方式，在不影响用户业务的前提下，可以对数据库进行灵活的审计。 基于数据库风险操作，监视数据库登录、操作类型（数据定义、数据操作和数据控制）和操作对象，有效对数据库进行审计。 从风险、会话、SQL注入等多个维度进行分析，帮助您及时了解数据库状况。 提供审计报表模板库，可以生成日报、周报或月报审计报表（可设置报表生成频率）。同时，支持发送报表生成的实时告警通知，帮助您及时获取审计报表。