關系數據庫PostgreSQL版已對接天翼云統一身份認證服務（IAM），可實現控制臺按鈕、菜單功能、OpenAPI等維度對用戶訪問、操作資源的權限控制等， 以達到用戶權限的精細管理，保證訪問的安全性。

IAM簡介

統一身份認證（Identity and Access Management，簡稱IAM）服務，是提供用戶進行權限管理的基礎服務，可以幫助您安全的控制云服務和資源的訪問及操作權限。目前天翼云提供對應專有的CTIAM服務，用戶可申請開通后免費使用，您只需要為您帳號中的云服務和資源進行付費。具體IAM使用說明詳情見：統一身份認證。

IAM涉及的主要概念

主用戶 ：用戶在天翼云注冊后自動創建，該用戶對其所擁有的資源具有完全的訪問權限，可以重置用戶密碼、分配用戶權限等。如果需要多人共同使用天翼云資源，為了確保賬號安全，建議創建子用戶來進行日常管理工作。

子用戶 ：由擁有IAM權限的用戶，在用戶中心創建的子用戶。子用戶的用戶名、密碼由擁有IAM權限的用戶控制。子用戶同樣可以登錄訪問天翼云控制臺，登錄入口與主用戶相同，受賦予的權限限制。

用戶組 ：用戶組是用戶的集合，IAM通過用戶組功能實現用戶的授權。您創建的IAM用戶，需要加入特定用戶組后，才具備對應的權限，否則IAM用戶無法訪問您帳號中的任何資源或者云服務。

系統策略 ：由天翼云產品團隊維護，系統預置的常用權限集，主要針對不同云服務的只讀權限或管理員權限，比如對 ECS 的只讀權限、對 ECS 的管理員權限等；系統策略在IAM控制臺中只能用于授權，不能編輯和修改。

自定義策略 ：由用戶自己在IAM控制臺創建和管理的權限集，是用戶可以自由定義的權限，是對系統策略的擴展和補充。

企業項目 ：企業項目權限實現細粒度控制的基礎。將云資源、企業成員按企業項目進行管理，通過企業項目將云資源、帶有權限的用戶組綁定到一起，用戶使用企業項目內云資源的權限受用戶組的授權限制。

RDS-PostgreSQL系統策略

RDS-PostgreSQL默認提供三種系統策略供用戶選擇，策略僅包括數據庫管理控制臺內的相關功能權限，涉及訂單下單等非管理控制臺的權限還需進行相應的權限配置。RDS-PostgreSQL的三種默認策略分別是PostgreSQL管理員策略（PostgreSQL-admin），普通用戶策略（PostgreSQL-user），只讀用戶策略（PostgreSQL-reviewer），三種策略的權限模型具體如下：

功能模塊
權限名稱
權限三元組
默認策略
產品編碼
服務編碼
操作標識
admin
user
reviewer
實例管理
PG查詢實例列表
pgsql
inst
list
Y
Y
Y
實例管理
PG數據庫清理操作
pgsql
remote
clean
Y


實例管理
PG實例操作
pgsql
inst
operate
Y


實例管理
PG修改實例參數
pgsql
params
alter
Y
Y

實例管理
PG查詢實例節點
pgsql
node
query
Y
Y
Y
實例管理
PG實例節點相關操作
pgsql
node
operate
Y
Y

實例管理
PG exporter操作
pgsql
exporter
operate
Y
Y

備份恢復
PG全量備份
pgsql
backup
create
Y
Y

備份恢復
PG復制全量備份
pgsql
backup
copy
Y
Y

備份恢復
PG刪除全量備份
pgsql
backup
delete
Y


備份恢復
PG從備份恢復
pgsql
backup
recover
Y
Y

備份恢復
PG獲取備份任務信息
pgsql
backup
tasklist
Y
Y

備份恢復
PG查看備份配置
pgsql
backup
settings
Y
Y

備份恢復
PG保存備份配置
pgsql
backup
save
Y
Y

數據庫管理
PG查詢數據庫
pgsql
database
query
Y
Y
Y
數據庫管理
PG操作數據庫
pgsql
database
operate
Y
Y

數據庫管理
PG查詢數據庫編碼方式
pgsql
database
encoding
Y
Y
Y
賬號管理
PG重置實例用戶密碼
pgsql
user
password
Y


賬號管理
PG查詢實例用戶列表
pgsql
user
list
Y
Y
Y
賬號管理
PG實例用戶相關操作
pgsql
user
operate
Y


參數模板管理
PG查詢參數模板
pgsql
template
list
Y
Y
Y
參數模板管理
PG查詢模板具體參數
pgsql
template
detail
Y
Y
Y
參數模板管理
PG操作參數模板
pgsql
template
operate
Y
Y

參數模板管理
PG應用參數模板
pgsql
template
apply
Y
Y

參數模板管理
PG修改模板內參數
pgsql
template
update
Y
Y

數據庫審計
PG審計日志設置
pgsql
audit
set
Y
Y

數據庫審計
PG查詢審計日志設置
pgsql
audit
setting
Y
Y

數據庫審計
PG查詢審計日志
pgsql
audit
record
Y
Y
Y
白名單管理
PG白名單查詢
pgsql
whitelist
list
Y
Y
Y
白名單管理
PG白名單操作
pgsql
whitelist
operate
Y
Y

企業項目管理
查看企業項目
ctiam
project
query
Y
Y
Y

如何自定義系統策略

1.登錄天翼云官網，點擊頭像，并選擇帳號中心，左側邊欄點擊“統一身份認證”，進入系統IAM。

2.選擇策略管理，此處可以看到系統默認的一些策略，您可以點擊右上角的“創建自定義策略”。

3.設置完畢策略基本信息，可以進入下一步，設置策略內容，首先選擇您所需要的云服務，例如“關系數據庫PostgreSQL版”，在下方選擇您想要定義的讀操作和寫操作。

4.選擇完畢，點擊左下角保存，即可創建成功。

注意
如果您不使用PostgreSQL默認策略，選用自定義策略時，需要在您的策略中添加ctiam:project:query三元組，才可以看到企業項目。