如果您需要對購買的GaussDB資源，為企業(yè)中的員工設置不同的訪問權限，為達到不同員工之間的權限隔離，您可以使用統(tǒng)一身份認證服務（Identity and Access Management，簡稱IAM）進行精細的權限管理。該服務提供用戶身份認證、權限分配、訪問控制等功能，可以幫助您安全的控制華為云資源的訪問。

如果華為云賬號已經(jīng)能滿足您的要求，不需要創(chuàng)建獨立的IAM用戶進行權限管理，您可以跳過本章節(jié)，不影響您使用GaussDB服務的其它功能。

通過IAM，您可以在華為云賬號中給員工創(chuàng)建IAM用戶，并授權控制他們對華為云資源的訪問范圍。例如您的員工中有負責軟件開發(fā)的人員，您希望開發(fā)人員擁有GaussDB的使用權限，但是不希望他們擁有刪除GaussDB等高危操作的權限，那么您可以使用IAM為開發(fā)人員創(chuàng)建用戶，通過授予僅能使用GaussDB，但是不允許刪除GaussDB的權限，控制他們對GaussDB資源的使用范圍。

IAM是華為云提供權限管理的基礎服務，無需付費即可使用，您只需要為您賬號中的資源進行付費。關于IAM的詳細介紹，請參見IAM產(chǎn)品介紹。

GaussDB權限

默認情況下，管理員創(chuàng)建的IAM用戶沒有任何權限，需要將其加入用戶組，并給用戶組授予策略或角色，才能使得用戶組中的用戶獲得對應的權限，這一過程稱為授權。授權后，用戶就可以基于被授予的權限對云服務進行操作。

GaussDB部署時通過物理區(qū)域劃分，為項目級服務。授權時，“作用范圍”需要選擇“區(qū)域級項目”，然后在指定區(qū)域（如華北-北京1）對應的項目（cn-north-1）中設置相關權限，并且該權限僅對此項目生效；如果在“所有項目”中設置權限，則該權限在所有區(qū)域項目中都生效。訪問GaussDB時，需要先切換至授權區(qū)域。

根據(jù)授權精細程度分為角色和策略。

角色：IAM最初提供的一種根據(jù)用戶的工作職能定義權限的粗粒度授權機制。該機制以服務為粒度，提供有限的服務相關角色用于授權。由于華為云各服務之間存在業(yè)務依賴關系，因此給用戶授予角色時，可能需要一并授予依賴的其他角色，才能正確完成業(yè)務。角色并不能滿足用戶對精細化授權的要求，無法完全達到企業(yè)對權限最小化的安全管控要求。

策略：IAM最新提供的一種細粒度授權的能力，可以精確到具體服務的操作、資源以及請求條件等?；诓呗缘氖跈嗍且环N更加靈活的授權方式，能夠滿足企業(yè)對權限最小化的安全管控要求。例如：針對GaussDB服務，管理員能夠控制IAM用戶僅能對某一類數(shù)據(jù)庫資源進行指定的管理操作。多數(shù)細粒度策略以API接口為粒度進行權限拆分 。

如表所示，包括了GaussDB的所有系統(tǒng)權限。