访问控制

云数据库 PostgreSQL 版支持通过多用户权限管理系统——访问控制（Identity and Access Management，简称 IAM）实现多身份的权限管控能力，提升运维安全及客户端、服务端集成产品力过程中的安全性，保障服务与服务之间协同调用的合规性和安全性。本文介绍通过 IAM 实现云数据库 PostgreSQL 版资源的资源管理、权限管理和身份管理的操作过程。

基本概念

在访问控制中，有以下几个概念：

• 用户 用户是访问控制的一种身份，由账号（Account）或是拥有权限的用户创建。用户被授予策略（Policy）后，可登录控制台或使用访问密钥（Access Key）调用 API 访问云资源。 账号（又称为主账号）可以看作是一个特殊的用户（被称为根用户，root user），是云服务资源的拥有者，也是资源计量、资源计费的主体。主账号默认拥有账号下所有权限。

• 用户组 用户组是用户的一个集合，同一个用户可存在于多个用户组中。当用户组被关联上策略后，用户组里的用户也会拥有对应的策略权限。

• 角色 角色（Role）是 IAM 体系里的一种身份，它的权限是由所关联的策略（Policy）定义的。角色通常被用来进行账号（Account）权限的授信，被授信的实体将拥有访问账号资源的权限。

• 策略 策略是对权限的一种描述，IAM 提供基于身份的策略（Identity-based policies）和基于资源的策略（Resource-based policies）。不论是用户、用户组还是角色，都需要通过关联策略来赋予权限。IAM支持两种类型的策略：系统预设策略和自定义策略。

• 项目 项目是一个虚拟的概念，包括一组资源、用户和角色。通过项目可以对一组资源进行统一的查看和管理，并且控制项目内用户和角色对这些资源的权限。

身份管理

访问控制提供了用户、用户组和角色三种身份，可根据实际业务，采用不同的身份维度进行管理。例如，在用户量少且用户固定的场景下，可以采用用户或角色的维度进行管理。在用户量大且用户经常发生变动的场景下，可以选择用户组的维度进行管理。

• 新建用户

• 新建用户组

• 新建角色

资源管理

为方便对资源进行权限管理和消费管理，使用资源管理的项目管理功能，将不同的资源加入不同的项目。

• 创建项目

• 将实例加入项目

权限管理

在完成身份管理和资源管理的部署后，即可对选定身份进行资源（项目）授权。
添加项目权限