如果您需要對購買的云數據庫 GeminiDB資源，給企業中的員工設置不同的訪問權限，以達到不同員工之間的權限隔離，您可以使用統一身份認證服務（Identity and Access Management，簡稱IAM）進行精細的權限管理。該服務提供用戶身份認證、權限分配、訪問控制等功能，可以幫助您安全的控制天翼云資源的訪問。

通過IAM，您可以在天翼云賬號中給員工創建IAM用戶，并授權控制他們對天翼云資源的訪問范圍。例如您的員工中有負責軟件開發的人員，您希望他們擁有云數據庫 GeminiDB的使用權限，但是不希望他們擁有刪除云數據庫 GeminiDB等高危操作的權限，那么您可以使用IAM為開發人員創建用戶，通過授予僅能使用云數據庫 GeminiDB，但是不允許刪除云數據庫 GeminiDB的權限策略，控制他們對云數據庫 GeminiDB資源的使用范圍。

如果天翼云賬號已經能滿足您的要求，不需要創建獨立的IAM用戶進行權限管理，您可以跳過本章節，不影響您使用云數據庫 GeminiDB服務的其它功能。

IAM是天翼云提供權限管理的基礎服務，無需付費即可使用，您只需要為您賬號中的資源進行付費。

關于IAM的詳細介紹，請參見《IAM產品介紹》。

云數據庫 GeminiDB權限

默認情況下，管理員創建的IAM用戶沒有任何權限，需要將其加入用戶組，并給用戶組授予策略或角色，才能使得用戶組中的用戶獲得對應的權限，這一過程稱為授權。授權后，用戶就可以基于被授予的權限對云服務進行操作。

云數據庫 GeminiDB部署時通過物理區域劃分，為項目級服務。授權時，“作用范圍”需要選擇“區域級項目”，然后在指定區域（如廣州4）對應的項目（cn-gdgz1）中設置相關權限，并且該權限僅對此項目生效；如果在“所有項目”中設置權限，則該權限在所有區域項目中都生效。訪問云數據庫 GeminiDB時，需要先切換至授權區域。

根據授權精細程度分為角色和策略。

角色：IAM最初提供的一種根據用戶的工作職能定義權限的粗粒度授權機制。該機制以服務為粒度，提供有限的服務相關角色用于授權。由于天翼云各服務之間存在業務依賴關系，因此給用戶授予角色時，可能需要一并授予依賴的其他角色，才能正確完成業務。角色并不能滿足用戶對精細化授權的要求，無法完全達到企業對權限最小化的安全管控要求。

策略：IAM最新提供的一種細粒度授權的能力，可以精確到具體服務的操作、資源以及請求條件等。基于策略的授權是一種更加靈活的授權方式，能夠滿足企業對權限最小化的安全管控要求。例如：針對ECS服務，管理員能夠控制IAM用戶僅能對某一類云主機資源進行指定的管理操作。

如表1所示，包括了云數據庫 GeminiDB的所有系統權限。

表1 云數據庫 GeminiDB系統權限

策略名稱/系統角色
描述
類別
依賴關系
GeminiDB FullAccess
云數據庫 GeminiDB服務所有權限。
系統策略
創建包周期實例需要配置CBC權限：
bss:balance:view
bss:balance:update
bss:order:view
bss:order:pay
bss:order:update
bss:renewal:view
bss:renewal:update
退訂包周期實例需要配置CBC權限：
bss:unsubscribe:update
GeminiDB ReadOnlyAccess
云數據庫 GeminiDB服務只讀權限。
系統策略
無

表2列出了云數據庫 GeminiDB常用操作與系統權限的授權關系，您可以參照該表選擇合適的系統權限。

表2 常用操作與系統權限的關系

表3列出了云數據庫 GeminiDB常用操作以及對應的授權項，您可以參照該表自定義配置權限策略。

表3 常用操作與對應的授權項

操作
授權項
授權范圍
備注
實例創建頁
vpc:vpcs:list
vpc:subnets:get
vpc:securityGroups:get
支持：
IAM項目(Project)
企業項目(Enterprise Project)
創建頁需要查詢對應的VPC、子網、安全組。
創建實例
nosql:instance:create
vpc:vpcs:list
vpc:vpcs:get
vpc:subnets:get
vpc:securityGroups:get
vpc:ports:get
支持：
IAM項目(Project)
企業項目(Enterprise Project)
界面使用默認VPC、子網、安全組需對應配置vpc:*:create權限，
創建加密實例需要在項目上配置KMS Administrator權限。
查詢實例列表
nosql:instance:list
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
查詢實例詳情
nosql:instance:list
支持：
IAM項目(Project)
企業項目(Enterprise Project)
如果實例詳情界面需要展示VPC、子網、安全組，請增加vpc:*:get和vpc:*:list授權項。
查詢任務列表
nosql:task:list
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
刪除實例
nosql:instance:delete
支持：
IAM項目(Project)
企業項目(Enterprise Project)
刪除實例需要同時刪除數據側IP地址。
重啟實例
nosql:instance:restart
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
重置密碼
nosql:instance:modifyPasswd
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
變更實例安全組
nosql:instance:modifySecurityGroup
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
修改數據庫端口
nosql:instance:modifyPort
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
綁定公網IP
nosql:instance:bindPublicIp
支持：
IAM項目(Project)
綁定公網IP時，需要查詢已經創建好的公網IP。
不支持企業項目
不支持細粒度
解綁公網IP
nosql:instance:unbindPublicIp
支持：
IAM項目(Project)
不支持企業項目
不支持細粒度
磁盤擴容
nosql:instance:modifyStorageSize
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
規格變更
nosql:instance:modifySpecification
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
節點擴容
nosql:instance:extendNode
vpc:vpcs:list
vpc:vpcs:get
vpc:subnets:get
vpc:securityGroups:get
vpc:ports:get
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
節點縮容
nosql:instance:reduceNode
支持：
IAM項目(Project)
企業項目(Enterprise Project)
刪除集群節點。
修改備份策略
nosql:instance:modifyBackupPolicy
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
重命名實例
nosql:instance:rename
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
創建手動備份
nosql:backup:create
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
查詢備份列表
nosql:backup:list
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
下載備份文件
nosql:backup:download
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
恢復到新實例
nosql:backup:restoreToNewInstance
vpc:vpcs:list
vpc:vpcs:get
vpc:subnets:get
vpc:securityGroups:get
vpc:ports:get
支持：
IAM項目(Project)
企業項目(Enterprise Project)
加密實例需要在項目上配置KMS Administrator權限。
備份恢復到已有實例
nosql:backup:restoreToExistInstance
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
刪除備份
nosql:backup:delete
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
創建參數模板
nosql:param:create
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
查詢參數模板列表
nosql:param:list
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
修改參數模板中的參數值
nosql:param:modify
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
變更實例下節點的參數配置
nosql:instance:modifyParameter
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
刪除參數模板
nosql:param:delete
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
標簽操作
nosql:instance:tag
tms:resourceTags:list
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
標簽列表
nosql:tag:list
tms:resourceTags:list
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
查詢企業項目配額管理列表
nosql:quota:list
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
修改企業項目配額
nosql:quota:modify
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
切換審計日志開關
nosql:instance:switchAuditLog
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
下載審計日志
nosql:instance:downloadAuditLog
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
刪除審計日志
nosql:instance:deleteAuditLog
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
更新慢日志明文開關
nosql:instance:modifySlowLogPlaintextSwitch
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
切換SSL開關
nosql:instance:switchSSL
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
修改內網IP
nosql:instance:modifyPrivateIp
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
切換主備節點
nosql:instance:switchover
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
數據庫補丁升級
nosql:instance:upgradeDatabaseVersion
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
停止備份
nosql:backup:stop
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
查詢日志配置組
lts:groups:get
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-
查詢日志配置流
lts:topics:get
支持：
IAM項目(Project)
企業項目(Enterprise Project)
-