通過IAM，您可以在華為云帳號中給員工創(chuàng)建IAM用戶，并授權(quán)控制創(chuàng)建的IAM用戶對華為云資源的訪問范圍。

例如您的員工中有負(fù)責(zé)軟件開發(fā)的人員，您希望開發(fā)人員擁有GaussDB的使用權(quán)限，但是不希望開發(fā)人員擁有刪除GaussDB等高危操作的權(quán)限，那么您可以使用IAM為開發(fā)人員創(chuàng)建用戶，通過授予僅能使用GaussDB，但是不允許刪除GaussDB的權(quán)限，控制開發(fā)人員對GaussDB資源的使用范圍。

如果華為云帳號已經(jīng)能滿足您的要求，不需要創(chuàng)建獨(dú)立的IAM用戶進(jìn)行權(quán)限管理，您可以跳過本章節(jié)，不影響您使用GaussDB服務(wù)的其它功能。

GaussDB部署時通過物理區(qū)域劃分，為項目級服務(wù)。授權(quán)時，“作用范圍”需要選擇“區(qū)域級項目”，然后在指定區(qū)域（如華北-北京1）對應(yīng)的項目（cn-north-1）中設(shè)置相關(guān)權(quán)限，并且該權(quán)限僅對此項目生效；如果在“所有項目”中設(shè)置權(quán)限，則該權(quán)限在所有區(qū)域項目中都生效。訪問GaussDB時，需要先切換至授權(quán)區(qū)域。

IAM最初提供的一種根據(jù)用戶的工作職能定義權(quán)限的粗粒度授權(quán)機(jī)制。該機(jī)制以服務(wù)為粒度，提供有限的服務(wù)相關(guān)角色用于授權(quán)。由于華為云各服務(wù)之間存在業(yè)務(wù)依賴關(guān)系，因此給用戶授予角色時，可能需要一并授予依賴的其他角色，才能正確完成業(yè)務(wù)。角色并不能滿足用戶對精細(xì)化授權(quán)的要求，無法完全達(dá)到企業(yè)對權(quán)限最小化的安全管控要求。

IAM最新提供的一種細(xì)粒度授權(quán)的能力，可以精確到具體服務(wù)的操作、資源以及請求條件等?；诓呗缘氖跈?quán)是一種更加靈活的授權(quán)方式，能夠滿足企業(yè)對權(quán)限最小化的安全管控要求。例如：針對GaussDB服務(wù)，管理員能夠控制IAM用戶僅能對某一類數(shù)據(jù)庫資源進(jìn)行指定的管理操作。多數(shù)細(xì)粒度策略以API接口為粒度進(jìn)行權(quán)限拆分，GaussDB支持的API授權(quán)項請參見策略及授權(quán)項說明 。

GaussDB ReadOnlyAccess擁有云數(shù)據(jù)庫GaussDB服務(wù)的只讀訪問權(quán)限，不支持創(chuàng)建GaussDB實例、刪除GaussDB實例，但是支持查詢GaussDB實例列表。