You need to enable JavaScript to run this app.
导航
访问控制
最近更新时间:2024.04.28 11:47:44首次发布时间:2021.12.01 15:40:28

云数据库 PostgreSQL 版支持通过多用户权限管理系统——访问控制(Identity and Access Management,简称 IAM)实现多身份的权限管控能力,提升运维安全及客户端、服务端集成产品力过程中的安全性,保障服务与服务之间协同调用的合规性和安全性。本文介绍通过 IAM 实现云数据库 PostgreSQL 版资源的资源管理、权限管理和身份管理的操作过程。

基本概念

在访问控制中,有以下几个概念:

  • 用户 用户是访问控制的一种身份,由账号(Account)或是拥有权限的用户创建。用户被授予策略(Policy)后,可登录控制台或使用访问密钥(Access Key)调用 API 访问云资源。 账号(又称为主账号)可以看作是一个特殊的用户(被称为根用户,root user),是云服务资源的拥有者,也是资源计量、资源计费的主体。主账号默认拥有账号下所有权限。

  • 用户组 用户组是用户的一个集合,同一个用户可存在于多个用户组中。当用户组被关联上策略后,用户组里的用户也会拥有对应的策略权限。

  • 角色 角色(Role)是 IAM 体系里的一种身份,它的权限是由所关联的策略(Policy)定义的。角色通常被用来进行账号(Account)权限的授信,被授信的实体将拥有访问账号资源的权限。

  • 策略 策略是对权限的一种描述,IAM 提供基于身份的策略(Identity-based policies)和基于资源的策略(Resource-based policies)。不论是用户、用户组还是角色,都需要通过关联策略来赋予权限。IAM支持两种类型的策略:系统预设策略和自定义策略。

  • 项目 项目是一个虚拟的概念,包括一组资源、用户和角色。通过项目可以对一组资源进行统一的查看和管理,并且控制项目内用户和角色对这些资源的权限。

身份管理

访问控制提供了用户、用户组和角色三种身份,可根据实际业务,采用不同的身份维度进行管理。例如,在用户量少且用户固定的场景下,可以采用用户或角色的维度进行管理。在用户量大且用户经常发生变动的场景下,可以选择用户组的维度进行管理。

资源管理

为方便对资源进行权限管理和消费管理,使用资源管理的项目管理功能,将不同的资源加入不同的项目。

权限管理

在完成身份管理和资源管理的部署后,即可对选定身份进行资源(项目)授权。
添加项目权限