权限管理

7 ^权限管理

如果华为云帐号已经能满足您的要求，不需要创建独立的 IAM 用户进行权限管理，您可以跳过本章节，不影响您使用 GaussDB(for MySQL)的其它功能。

如果您需要对华为云上购买的 GaussDB(for MySQL)资源，为企业中的员工设置不同的访问权限，为达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称 IAM）进行精细的权限管理。该服务提供用户身份认证、

权限分配、访问控制等功能，可以帮助您安全的控制华为云资源的访问。

通过 IAM，您可以在华为云帐号中给员工创建 IAM 用户，并授权控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望开发人员拥有

GaussDB(for MySQL)的使用权限，但是不希望他们拥有删除 GaussDB(for MySQL)等高危操作的权限，那么您可以使用 IAM 为开发人员创建用户，通过授予仅能使用

GaussDB(for MySQL)，但是不允许删除 GaussDB(for MySQL)的权限，控制他们对 GaussDB(for MySQL)资源的使用范围。

IAM 是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于 IAM 的详细介绍，请参见IAM 产品介绍。

GaussDB(for MySQL)权限

默认情况下，管理员创建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。

授权后，用户就可以基于被授予的权限对云服务进行操作。

GaussDB(for MySQL)部署时通过物理区域划分，为项目级服务。授权时，“作用范围”

需要选择“区域级项目”，然后在指定区域（如华北-北京 1）对应的项目（cn-north-1）

中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问 GaussDB(for MySQL)时，需要先切换至授权区域。

 策略：IAM 最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对云数据库 GaussDB(for MySQL)，管理员能够控制 IAM 用户仅能对某一类数据库资源进行指定的管理操作。

如表 1所示，包括了云数据库 GaussDB(for MySQL)的所有系统权限。

产品介绍 7 权限管理

策略名称描述类别

GaussDB FullAccess 云数据库 GaussDB 服务的所有执行权限。

系统策略

GaussDB ReadOnlyAccess

云数据库 GaussDB 服务的只读访问权限。

系统策略

表 2列出了云数据库 GaussDB(for MySQL)常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。

表7-2 常用操作与系统权限的关系

操作 GaussDB FullAccess GaussDB ReadOnlyAccess 创建 GaussDB(for

MySQL)实例

支持不支持

删除 GaussDB(for MySQL)实例

支持不支持

查询 GaussDB(for MySQL)实例列表

支持支持

表7-3 常用操作与对应授权项

操作名称授权项备注

创建数据库实例 gaussdb:instance:create gaussdb:param:list

 界面选择 VPC、子网、安全组需要配置：

vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get 创建加密实例需要在项目上配置 KMS

Administrator 权限。

 创建包周期实例需要配置 CBC 权限：

bss:renewal:view bss:renewal:update bss:balance:view bss:order:view

产品介绍 7 权限管理

操作名称授权项备注

变更数据库实例的规格

gaussdb:instance:modifySpec 无

重启数据库实例 gaussdb:instance:restart 无删除数据库实例 gaussdb:instance:delete 无查询数据库实例列表 gaussdb:instance:list 无

实例详情 gaussdb:instance:list 实例详情界面展示 VPC、子网、安全组，

需要对应配置 vpc:*:get 和 vpc:*:list。

修改数据库实例密码 gaussdb:instance:modify 无修改端口 gaussdb:instance:modify 无修改实例名称 gaussdb:instance:modify 无修改运维时间窗 gaussdb:instance:modify 无修改实例安全组 gaussdb:instance:modify 无

绑定/解绑公网 IP gaussdb:instance:modify 界面列出公网 IP 需要配置：

vpc:publicIps:get vpc:publicIps:list 开启、关闭 SSL gaussdb:instance:modify 无

创建参数模板 gaussdb:param:create 无修改参数模板 gaussdb:param:modify 无获取参数模板列表 gaussdb:param:list 无应用参数模板 gaussdb:param:apply 无删除参数模板 gaussdb:param:delete 无创建手动备份 gaussdb:backup:create 无删除手动备份 gaussdb:backup:delete 无获取备份列表 gaussdb:backup:list 无修改备份策略 gaussdb:instance:modifyBackupPol

icy

无

删除手动备份 gaussdb:backup:delete 无查询可恢复时间段 gaussdb:instance:list 无

恢复到新实例 gaussdb:instance:create 界面选择 VPC、子网、

产品介绍 7 权限管理

操作名称授权项备注

安全组需要配置：

vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get 查询错误日志 gaussdb:log:list 无

查询项目标签 gaussdb:tag:list 无批量添加删除项目标

签

gaussdb:instance:dealTag 无

修改配额 gaussdb:quota:modify 无添加只读节点 gaussdb:instance:modify 无删除只读节点 gaussdb:instance:delete 无按需转包周期 gaussdb:instance:modify 无只读升主 gaussdb:instance:modify 无设置倒换优先级 gaussdb:instance:modify 无开启/关闭秒级监控 gaussdb:instance:modify 无开启/关闭全量 SQL gaussdb:instance:modify 无

修改读写内网地址 gaussdb:instance:modify 界面选择 ip 需要配置：

vpc:vpcs:list vpc:vpcs:get 开启/关闭/扩容 proxy gaussdb:instance:modifyProxy 无

7 权限管理

GaussDB(for MySQL)权限

相关链接

7 ^权限管理