如果您需要對云上的DWS資源，為企業中的員工設置不同的訪問權限，以達到不同員工之間的權限隔離，您可以使用統一身份認證服務（Identity and Access Management，簡稱IAM）進行精細的權限管理。該服務提供用戶身份認證、權限分配、訪問控制等功能，可以幫助您安全的控制云資源的訪問。

通過IAM，您可以在云帳號中給員工創建IAM用戶，并授權控制他們對云資源的訪問范圍。例如您的員工中有負責軟件開發的人員，您希望他們擁有DWS的使用權限，但是不希望他們擁有刪除集群等高危操作的權限，那么您可以使用IAM為開發人員創建用戶，通過授予僅能使用DWS，但是不允許刪除集群的權限，控制他們對DWS資源的使用范圍。

如果云帳號已經能滿足您的要求，不需要創建獨立的IAM用戶進行權限管理，您可以跳過本章節，不影響您使用DWS服務的其它功能。

IAM是云提供權限管理的基礎服務，無需付費即可使用，您只需要為您帳號中的資源進行付費。關于IAM的詳細介紹，請參見統一身份認證用戶指南中的“產品介紹”。

DWS權限

默認情況下，IAM管理員創建的IAM用戶沒有任何權限，需要將其加入用戶組，并給用戶組授予策略或角色，才能使得用戶組中的用戶獲得對應的權限，這一過程稱為授權。授權后，用戶就可以基于被授予的權限對云服務進行操作。

DWS部署時通過物理區域劃分，為項目級服務。授權時，“作用范圍”需要選擇“區域級項目”，然后在指定區域對應的項目中設置相關權限，并且該權限僅對此項目生效；如果在“所有項目”中設置權限，則該權限在所有區域項目中都生效。訪問DWS時，需要先切換至授權區域。

• 角色 ：IAM最初提供的一種根據用戶的工作職能定義權限的粗粒度授權機制。該機制以服務為粒度，提供有限的服務相關角色用于授權。由于云各服務之間存在業務依賴關系，因此給用戶授予角色時，可能需要一并授予依賴的其他角色，才能正確完成業務。角色并不能滿足用戶對精細化授權的要求，無法完全達到企業對權限最小化的安全管控要求。
• 策略 ：IAM最新提供的一種細粒度授權的能力，可以精確到具體服務的操作、資源以及請求條件等。基于策略的授權是一種更加靈活的授權方式，能夠滿足企業對權限最小化的安全管控要求。例如：針對DWS服務，IAM管理員能夠控制IAM用戶僅能對某一類資源進行指定的管理操作。

如下表所示，包括了DWS的所有系統權限。

DWS系統權限

下表列出了DWS常用操作與系統權限的授權關系，您可以參照該表選擇合適的系統策略。

                
說明
                
每個區域的每個項目首次使用彈性IP綁定功能時，系統將提示創建名稱為“DWSAccessVPC”委托以授權DWS訪問VPC。授權成功后，DWS可以在綁定彈性IP的虛擬機故障時切換至健康虛擬機。
在實際業務中，除了具備策略權限外還需要給不同角色的用戶授予不同的資源操作權限。例如創建快照、重啟集群等操作，詳情請參見[《數據倉庫服務用戶操作指南》](//www.daliqc.cn/document/10014061/10014418)中“策略語法：細粒度策略”章節。
默認情況下，只有云帳號或擁有Security Administrator權限的用戶才具備查詢委托和創建委托的權限。帳號中的IAM用戶，默認沒有查詢委托和創建委托的權限，在使用彈性IP綁定功能時頁面會屏蔽綁定按鈕，此時需聯系有“DWS Administrator”權限的用戶在當前頁面完成對DWS的委托授權。
              

DWS常用操作與系統權限的關系