高斯數(shù)據(jù)庫給用戶授權(quán)

GaussDB常用操作與系統(tǒng)權(quán)限的授權(quán)關(guān)系

如果您需要對購買的GaussDB資源，為企業(yè)中的員工設(shè)置不同的訪問權(quán)限，為達(dá)到不同員工之間的權(quán)限隔離，您可以使用統(tǒng)一身份認(rèn)證服務(wù)（Identity and Access Management，簡稱IAM）進(jìn)行精細(xì)的權(quán)限管理。該服務(wù)提供用戶身份認(rèn)證、權(quán)限分配、訪問控制等功能，可以幫助您安全的控制華為云資源的訪問。

如果華為云賬號已經(jīng)能滿足您的要求，不需要創(chuàng)建獨立的IAM用戶進(jìn)行權(quán)限管理，您可以跳過本章節(jié)，不影響您使用GaussDB服務(wù)的其它功能。

通過IAM，您可以在華為云賬號中給員工創(chuàng)建IAM用戶，并授權(quán)控制他們對華為云資源的訪問范圍。例如您的員工中有負(fù)責(zé)軟件開發(fā)的人員，您希望開發(fā)人員擁有GaussDB的使用權(quán)限，但是不希望他們擁有刪除GaussDB等高危操作的權(quán)限，那么您可以使用IAM為開發(fā)人員創(chuàng)建用戶，通過授予僅能使用GaussDB，但是不允許刪除GaussDB的權(quán)限，控制他們對GaussDB資源的使用范圍。

IAM是華為云提供權(quán)限管理的基礎(chǔ)服務(wù)，無需付費即可使用，您只需要為您賬號中的資源進(jìn)行付費。關(guān)于IAM的詳細(xì)介紹，請參見IAM產(chǎn)品介紹。

GaussDB權(quán)限

默認(rèn)情況下，管理員創(chuàng)建的IAM用戶沒有任何權(quán)限，需要將其加入用戶組，并給用戶組授予策略或角色，才能使得用戶組中的用戶獲得對應(yīng)的權(quán)限，這一過程稱為授權(quán)。授權(quán)后，用戶就可以基于被授予的權(quán)限對云服務(wù)進(jìn)行操作。

GaussDB部署時通過物理區(qū)域劃分，為項目級服務(wù)。授權(quán)時，“作用范圍”需要選擇“區(qū)域級項目”，然后在指定區(qū)域（如華北-北京1）對應(yīng)的項目（cn-north-1）中設(shè)置相關(guān)權(quán)限，并且該權(quán)限僅對此項目生效；如果在“所有項目”中設(shè)置權(quán)限，則該權(quán)限在所有區(qū)域項目中都生效。訪問GaussDB時，需要先切換至授權(quán)區(qū)域。

根據(jù)授權(quán)精細(xì)程度分為角色和策略。

角色：IAM最初提供的一種根據(jù)用戶的工作職能定義權(quán)限的粗粒度授權(quán)機(jī)制。該機(jī)制以服務(wù)為粒度，提供有限的服務(wù)相關(guān)角色用于授權(quán)。由于華為云各服務(wù)之間存在業(yè)務(wù)依賴關(guān)系，因此給用戶授予角色時，可能需要一并授予依賴的其他角色，才能正確完成業(yè)務(wù)。角色并不能滿足用戶對精細(xì)化授權(quán)的要求，無法完全達(dá)到企業(yè)對權(quán)限最小化的安全管控要求。

策略：IAM最新提供的一種細(xì)粒度授權(quán)的能力，可以精確到具體服務(wù)的操作、資源以及請求條件等?；诓呗缘氖跈?quán)是一種更加靈活的授權(quán)方式，能夠滿足企業(yè)對權(quán)限最小化的安全管控要求。例如：針對GaussDB服務(wù)，管理員能夠控制IAM用戶僅能對某一類數(shù)據(jù)庫資源進(jìn)行指定的管理操作。多數(shù)細(xì)粒度策略以API接口為粒度進(jìn)行權(quán)限拆分。

如表1所示，包括了GaussDB的所有系統(tǒng)權(quán)限。

策略名稱	描述	類別
GaussDB FullAccess	云數(shù)據(jù)庫GaussDB服務(wù)的所有執(zhí)行權(quán)限。	系統(tǒng)策略
GaussDB ReadOnlyAccess	云數(shù)據(jù)庫GaussDB服務(wù)的只讀訪問權(quán)限。	系統(tǒng)策略

表2列出了GaussDB常用操作與系統(tǒng)權(quán)限的授權(quán)關(guān)系，您可以參照該表選擇合適的系統(tǒng)權(quán)限。

表2 常用操作與系統(tǒng)權(quán)限的關(guān)系

操作	GaussDB FullAccess	GaussDB ReadOnlyAccess
創(chuàng)建GaussDB實例	√	x
刪除GaussDB實例	√	x
查詢GaussDB實例列表	√	√

GaussDB數(shù)據(jù)庫給用戶授權(quán)

創(chuàng)建用戶并授權(quán)使用GaussDB

如果您需要對您所擁有的GaussDB進(jìn)行精細(xì)的權(quán)限管理，您可以使用統(tǒng)一身份認(rèn)證服務(wù)（Identity and Access Management，簡稱IAM），通過IAM，您可以：

根據(jù)企業(yè)的業(yè)務(wù)組織，在您的華為云帳號中，給企業(yè)中不同職能部門的員工創(chuàng)建IAM用戶，讓員工擁有唯一安全憑證，并使用GaussDB資源。
根據(jù)企業(yè)用戶的職能，設(shè)置不同的訪問權(quán)限，以達(dá)到用戶之間的權(quán)限隔離。
將GaussDB資源委托給更專業(yè)、高效的其他華為云帳號或者云服務(wù)，這些帳號或者云服務(wù)可以根據(jù)權(quán)限進(jìn)行代運維。

如果華為云帳號已經(jīng)能滿足您的要求，不需要創(chuàng)建獨立的IAM用戶，您可以跳過本章節(jié)，不影響您使用GaussDB服務(wù)的其它功能。

本章節(jié)為您介紹對用戶授權(quán)的方法，操作流程如圖1所示。

前提條件

給用戶組授權(quán)之前，請您了解用戶組可以添加的GaussDB系統(tǒng)策略，并結(jié)合實際需求進(jìn)行選擇。GaussDB支持的系統(tǒng)權(quán)限。若您需要對除GaussDB之外的其它服務(wù)授權(quán)，IAM支持服務(wù)的所有策略請參見權(quán)限策略。

示例流程

1、創(chuàng)建用戶組并授權(quán)

在IAM控制臺創(chuàng)建用戶組，并授予關(guān)系型數(shù)據(jù)庫只讀權(quán)限“GaussDB ReadOnlyAccess”。

2、創(chuàng)建用戶并加入用戶組

在IAM控制臺創(chuàng)建用戶，并將其加入1中創(chuàng)建的用戶組。

3、用戶登錄并驗證權(quán)限

新創(chuàng)建的用戶登錄控制臺，切換至授權(quán)區(qū)域，驗證權(quán)限：

在“服務(wù)列表”中選擇云數(shù)據(jù)庫 GaussDB，進(jìn)入GaussDB主界面，在左側(cè)導(dǎo)航欄選擇GaussDB > 實例管理。單擊右上角“購買數(shù)據(jù)庫實例”，嘗試購買數(shù)據(jù)庫實例，如果無法購買（假設(shè)當(dāng)前權(quán)限僅包含GaussDB ReadOnlyAccess），表示“GaussDB ReadOnlyAccess”已生效。

在“服務(wù)列表”中選擇除云數(shù)據(jù)庫 GaussDB外（假設(shè)當(dāng)前策略僅包含GaussDB ReadOnlyAccess）的任一服務(wù)，若提示權(quán)限不足，表示“GaussDB ReadOnlyAccess”已生效。

高斯數(shù)據(jù)庫基于什么

快速入門-實例連接方式介紹

DAS連接

無需使用IP地址，通過華為云數(shù)據(jù)管理服務(wù)（Data Admin Service，簡稱DAS）這款可視化的專業(yè)數(shù)據(jù)庫管理工具，可獲得執(zhí)行SQL、高級數(shù)據(jù)庫管理、智能化運維等功能，做到易用、安全、智能地管理數(shù)據(jù)庫。GaussDB默認(rèn)開通DAS連接權(quán)限。
內(nèi)網(wǎng)連接

系統(tǒng)默認(rèn)提供內(nèi)網(wǎng)IP地址。當(dāng)應(yīng)用部署在彈性云服務(wù)器上，且該彈性云服務(wù)器與GaussDB實例處于同一區(qū)域，同一VPC時，建議單獨使用內(nèi)網(wǎng)IP連接彈性云服務(wù)器與GaussDB實例。
公網(wǎng)連接

彈性公網(wǎng)IP，不能通過內(nèi)網(wǎng)IP地址訪問GaussDB實例時，使用公網(wǎng)訪問，建議單獨綁定彈性公網(wǎng)IP連接彈性云服務(wù)器（或公網(wǎng)主機(jī)）與GaussDB實例。