天翼云提供統一身份認證（Identity and Access Management，簡稱IAM）服務，是提供用戶進行權限管理的基礎服務，可以幫助您安全的控制云服務和資源的訪問及操作權限。通過IAM服務定義企業項目、創建子用戶，輕松實現IAM子用戶對數據庫審計資源的訪問控制、權限分配等。

默認情況下，天翼云主賬號擁有管理員權限，而主賬號創建的IAM用戶沒有任何權限。IAM用戶需要加入用戶組，并給用戶組授權相應策略后，IAM用戶才能獲得策略對應的權限，才可以基于被授予的權限對云服務進行操作。

數據庫審計支持企業項目管理，若您需要對數據庫審計資源進行分組和管理，形成邏輯隔離，您可以創建企業項目，并將資源劃分至不同的企業項目中，不同的企業項目可以綁定不同的用戶組，并給用戶組授予數據庫審計產品的權限策略（包括系統策略和自定義策略），從而實現對特定資源的授權。

IAM應用場景

IAM策略主要面向同一主賬號下，對不同IAM用戶授權的場景：

• 您可以為不同操作人員或應用程序創建不同IAM用戶，并授予IAM用戶剛好能完成工作所需的權限，比如查看權限，進行最小粒度授權管理。

• 新創建的IAM用戶可以使用自己的登錄名和密碼登錄控制臺，實現多用戶協同操作時無需分享賬號密碼的安全要求。

數據庫審計IAM策略說明

天翼云為數據庫審計提供如下系統策略。如果系統策略不滿足授權要求，可以創建自定義策略，自定義策略是對系統策略的擴展和補充，詳情請參見創建自定義策略。

數據庫審計權限及授權項

策略支持的操作與授權項相對應，授權項列表說明如下：

• 權限：允許或拒絕IAM用戶某項操作。

• 授權項：授權操作對應的權限三元組，創建自定義策略時，支持可視化JSON視圖寫入權限三元組實現策略配置。

• 權限類型：授權操作對應的讀寫類型。

通過IAM授權使用數據庫審計

詳細操作請參考：

1. 創建用戶組和授權

2. 創建IAM用戶和登錄

3. 創建企業項目并基于企業項目完成授權