数据库实例版本

GaussDB(for openGauss)目前支持1.4和2.0版本。其中，2.0版本为白名单开放。如需配置白名单权限，您可以在管理控制台右上角，选择工单 > 新建工单工单 > 新建工单，提交开通白名单的申请。

产品介绍 5 实例说明

6 ^权限管理

如果您需要对购买的GaussDB(for openGauss)资源，为企业中的员工设置不同的访问权限，为达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、

权限分配、访问控制等功能，可以帮助您安全的控制华为云资源的访问。

如果华为云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用GaussDB(for openGauss)服务的其它功能。

通过IAM，您可以在华为云账号中给员工创建IAM用户，并授权控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望开发人员拥有

GaussDB(for openGauss)的使用权限，但是不希望他们拥有删除GaussDB(for openGauss)等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用GaussDB(for openGauss)，但是不允许删除GaussDB(for openGauss)的权限，控制他们对GaussDB(for openGauss)资源的使用范围。

IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见IAM产品介绍。

GaussDB(for openGauss)权限

默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。

授权后，用户就可以基于被授予的权限对云服务进行操作。

GaussDB(for openGauss)部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问GaussDB(for openGauss)时，需要先切换至授权区域。对权限最小化的安全管控要求。例如：针对GaussDB(for openGauss)服务，管理

产品介绍 6 权限管理

员能够控制IAM用户仅能对某一类数据库资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，GaussDB(for openGauss)支持的API授权项请参见策略及授权项说明。

如表6-1所示，包括了GaussDB(for openGauss)的所有系统权限。

表6-1 GaussDB(for openGauss)系统权限

策略名称描述类别

GaussDB FullAccess 云数据库GaussDB服务的所有执行权限。

系统策略

GaussDB

ReadOnlyAccess 云数据库GaussDB服务的只读访问权限。

系统策略

表6-2列出了GaussDB(for openGauss)常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。

表6-2 常用操作与系统权限的关系

操作 GaussDB FullAccess GaussDB ReadOnlyAccess 创建GaussDB(for

openGauss)实例 √ x

删除GaussDB(for

openGauss)实例 √ x

查询GaussDB(for openGauss)实例列表

√ √

产品介绍 6 权限管理

表6-3 常用操作与对应授权项

操作名称授权项备注

创建数据库实例 gaussdb:instance:create gaussdb:param:list

界面选择VPC、子网、

安全组需要配置：

vpc:vpcs:list vpc:vpcs:get vpc:subnets:get

vpc:securityGroups:get 创建包周期实例需要配置

bss:order:update bss:order:view bss:balance:view 创建加密实例需要在项目上配置:

kms:cmk:get kms:cmk:list

操作失败上报事件监控需要配置：

"ces:alarmsOnOff:put"

"ces:alarms:create"

规格变更 gaussdb:instance:modifySpec 操作失败上报事件监控需要配置：

"ces:alarmsOnOff:put"

"ces:alarms:create"

扩容节点 gaussdb:instance:modifySpec 操作失败上报事件监控需要配置：

"ces:alarmsOnOff:put"

"ces:alarms:create"

磁盘扩容 gaussdb:instance:modifySpec 操作失败上报事件监控需要配置：

"ces:alarmsOnOff:put"

"ces:alarms:create"

重启数据库实例 gaussdb:instance:restart 操作失败上报事件监控需要配置：

"ces:alarmsOnOff:put"

"ces:alarms:create"

产品介绍 6 权限管理

操作名称授权项备注

删除数据库实例 gaussdb:instance:delete 退订包周期实例需要配置：

"bss:unsubscribe:updat e"

操作失败上报事件监控需要配置：

"ces:alarmsOnOff:put"

"ces:alarms:create"

查询数据库实例列表 gaussdb:instance:list 无

实例详情 gaussdb:instance:list 实例详情界面展示 VPC、子网、安全组，

需要对应配置vpc:*:get 和vpc:*:list。显示磁盘已使用大小，需要配置 ces:*:list。

修改数据库实例密码 gaussdb:instance:modify 操作失败上报事件监控需要配置：

"ces:alarmsOnOff:put"

"ces:alarms:create"

修改实例名称 gaussdb:instance:modify 无

绑定/解绑公网IP gaussdb:instance:modify 界面列出公网IP需要配置：

vpc:publicIps:get vpc:publicIps:list 操作失败上报事件监控需要配置：

"ces:alarmsOnOff:put"

"ces:alarms:create"

创建参数模板 gaussdb:param:create 无修改参数模板 gaussdb:param:modify 无获取参数模板列表 gaussdb:param:list 无

应用参数模板 gaussdb:param:apply 操作失败上报事件监控需要配置：

"ces:alarmsOnOff:put"

"ces:alarms:create 删除参数模板 gaussdb:param:delete 无

产品介绍 6 权限管理

操作名称授权项备注

创建手动备份 gaussdb:backup:create 操作失败上报事件监控需要配置：

"ces:alarmsOnOff:put"

"ces:alarms:create"

获取备份列表 gaussdb:backup:list 无修改备份策略 gaussdb:instance:modifyBacku

pPolicy 无

删除手动备份 gaussdb:backup:delete 操作失败上报事件监控需要配置：

"ces:alarmsOnOff:put"

"ces:alarms:create"

恢复到新实例 gaussdb:instance:create 界面选择VPC、子网、

安全组需要配置：

vpc:vpcs:list vpc:vpcs:get vpc:subnets:get

vpc:securityGroups:get 操作失败上报事件监控需要配置：

"ces:alarmsOnOff:put"

"ces:alarms:create 查询项目标签 gaussdb:tag:list 无

批量添加删除项目标

签 gaussdb:instance:dealTag 无修改配额 gaussdb:quota:modify 无

产品介绍 6 权限管理

7 GaussDB(for openGauss)约束与限制

云数据库 GaussDB(for openGauss)在使用上有一些固定限制，用来提高实例的稳定性和安全性，具体详见表7-1。

表7-1 功能约束与限制

功能使用限制

数据库访问 ● 如果GaussDB(for openGauss)实例未开通公网访问，则该实例必须与云主机弹性云服务器处在同一个虚拟私有云子网内才能相互访问。

● 弹性云服务器必须处于目标GaussDB(for openGauss)实例所属安全组允许访问的范围内。

如果GaussDB(for openGauss)实例与弹性云服务器处于不同的安全组，系统默认不能访问。需要在

GaussDB(for openGauss)的安全组添加一条“入”的访问规则。

● GaussDB(for openGauss)实例的默认端口为8000，只能在创建实例时修改。

部署实例所部署的服务器，对用户都不可见，即只允许应用程

序通过IP地址和端口访问数据库。

数据库的root权限数据库的root权限创建实例页面只提供管理员root用户权限。

说明管理员root用户权限：createrole，createdb和monadmin。

由于root权限低于完整的管理员用户权限，部分SQL语法/函数执行时会报权限不足，例如：create tablespace 等

重启GaussDB(for

openGauss)实例无法通过命令行重启，必须通过GaussDB(for openGauss) 的管理控制台操作重启实例。

GaussDB(for

openGauss)备份查看 GaussDB(for openGauss)实例在对象存储服务上的备份文件，对用户不可见。

产品介绍 7 GaussDB(for openGauss)约束与限制

8 ^计费说明

GaussDB(for openGauss)目前支持按需计费和包周期计费方式。

计费项

GaussDB(for openGauss)对您选择的数据库实例、数据库存储和备份存储（可选）收费。

表8-1 GaussDB(for openGauss)计费项说明

计费项计费说明

数据库实例对所选的实例规格进行计费，提供按需计费和包周期计费方式。

数据库存储对数据库存储空间进行计费，提供按需计费和包周期计费方式。

备份存储（可

选） GaussDB(for openGauss)提供了部分免费存储空间，用于存放您的备份数据，其总容量约为您购买存储容量的100%。备份存储用量超过数据库存储空间的100%，开始按照阶梯计费。

公网流量 GaussDB(for openGauss)实例支持公网访问，公网访问会产生带宽流量费；GaussDB(for openGauss)数据库实例在云内部网络产生的流量不计费。主备版实例暂不支持公网访问。

GaussDB(for openGauss)管理费用详情，请参见产品价格详情。您可以通过

GaussDB(for openGauss)提供的价格计算器，选择您需要的实例规格，来快速计算出购买实例的参考价格。

计费模式

提供按小时、按月、按年的计费方式供您灵活选择，使用越久越便宜。

● 预付费（包年包月）：这种购买方式相对于按需付费提供更大的折扣，对于长期使用者，推荐该方式。

● 按需付费（小时）：这种购买方式比较灵活，可以即开即停，按实际使用时长计费。以自然小时为单位整点计费，不足一小时按实际使用时长计费。

产品介绍 8 计费说明

变更配置

● 变更GaussDB(for openGauss)实例规格：您可以根据业务需求变更GaussDB(for openGauss)实例规格，变更后即刻按照变更后的实例规格的价格计费。

● 扩容存储空间：您可以根据业务需求增加您的存储空间，扩容后即刻按照新的存储空间计费。您需要注意的是存储空间只允许扩容，不能缩容。扩容磁盘的大小必须是（40*分片数量）的整数倍。

续费

目前GaussDB(for openGauss)提供“按需计费”和“包年/包月”计费方式的购买方式，您可以根据业务需要定制相应计算能力和存储空间的数据库实例。

9 GaussDB(for openGauss)与其他服务的关系

GaussDB(for openGauss)与其他服务的关系如表9-1。

表9-1 与其他服务的关系

6 权限管理

GaussDB(for openGauss)权限

7 GaussDB(for openGauss)约束与限制

8 计费说明

计费项

计费模式

变更配置

续费

9 GaussDB(for openGauss)与其他服务的关 系

6 ^权限管理

8 ^计费说明

9 GaussDB(for openGauss)与其他服务的关系