最小权限原则要求账号仅拥有履职必需的最低权限。需分应用、运维、审计三类账号，按角色精确授予权限；禁用通配符授权；每季度审计清理僵尸及高危账号；强化密码策略与认证方式；操作全程留痕并纳入审批流程。

数据库账号权限不是越强越好，而是够用就行。最小权限原则的核心是：每个账号只拥有完成其职责所必需的最低限度权限，不额外授予任何操作能力。

区分账号类型，按角色分配权限

生产环境至少应划分三类账号：应用连接账号、运维管理账号、审计只读账号。应用账号通常只需对特定表执行SELECT/INSERT/UPDATE，禁止DROP、CREATE、ALTER等DDL权限；运维账号可拥有DBA角色，但应通过跳板机或临时提权机制控制访问；审计账号仅允许连接并查询information_schema和业务视图，不可写入或跨库访问。

• 应用账号示例：GRANT SELECT, INSERT, UPDATE ON app_db.users TO 'app_user'@'10.20.%.%';
• 避免使用通配符授权：GRANT ALL PRIVILEGES ON *.* TO ... 是高危操作，必须禁用
• 权限应精确到库+表级，而非整个实例；敏感表（如user_password）可单独收回UPDATE权限

定期清理与权限复核

权限不会自动过期，但人员职责会变。建议每季度执行一次权限审计：检查是否存在6个月未登录的账号、离职人员残留账号、临时开通后未回收的高权限账号。可用如下SQL快速筛查：

• SELECT user, host, account_locked, password_last_changed FROM mysql.user WHERE password_last_changed
• 结合performance_schema.accounts查看活跃连接频次，识别“僵尸账号”
• 对变更频繁的账号（如CI/CD流水线账号），设置自动回收策略：首次授权时附加注释说明用途与有效期

密码与认证方式强化

弱密码等于权限失控。强制要求密码长度≥12位、含大小写字母+数字+符号，且禁止复用历史5次密码。更进一步，启用插件式认证（如caching_sha2_password）、绑定IP段、限制连接数，并关闭匿名用户。

• 创建账号时直接指定强策略：CREATE USER 'api_user'@'192.168.10.%' IDENTIFIED BY 'Xk9#qL2$vR!n' PASSWORD EXPIRE INTERVAL 90 DAY;
• 禁用空密码与test库默认账号：DROP USER ''@'localhost'; DROP DATABASE IF EXISTS test;
• 对关键账号启用双因素（如PAM插件对接LDAP/OTP），尤其适用于DBA账号

操作留痕与变更管控

谁在什么时候改了什么权限，必须可追溯。开启general_log或audit log（如MySQL Enterprise Audit或MariaDB Audit Plugin），记录所有GRANT/REVOKE语句。同时，将权限变更纳入配置管理流程——禁止手工执行，统一通过Ansible/Terraform模板审批发布。

• 日志中需包含client_ip、user@host、执行时间、SQL原文，便于事后定位
• 权限变更前必须触发审批流（如Jira工单+双人复核），审批通过后才允许执行
• 建立权限基线快照，每次变更后自动生成diff报告，推送至安全团队邮箱