只读用户配置权限

背景信息

如果您需要对华为云上的GaussDB(DWS)资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云资源的访问。通过IAM，您可以在云账号中给员工创建IAM用户，并授权控制他们对云资源的访问范围。

• 场景一：您的员工中有负责软件开发的人员，您希望他们拥有GaussDB(DWS)的使用权限，但是不希望他们拥有删除集群等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用GaussDB(DWS)，但是不允许删除集群的权限，控制他们对GaussDB(DWS)资源的使用范围。
• 场景二：您希望您的员工只有GaussDB(DWS)的资源使用权限，不希望拥有其他云资源的权限，以防止资源滥用。例如只开通GaussDB(DWS)的操作权限，不能使用其他云服务。

通过IAM权限控制，有效达到云资源访问控制，避免云资源误操作。本文将指导如何配置只读权限的IAM用户。

教程一：IAM项目视图下的只读操作

1. 创建用户组并授权。

   使用华为云账号登录IAM控制台，创建用户组，并授予数据仓库服务的只读权限“DWS ReadOnlyAccess”。

   

2. 创建用户并加入用户组。

   在IAM控制台创建用户，并将其加入步骤1中创建的用户组。

3. 用户登录并验证权限。
   使用新创建的用户登录控制台，切换至授权区域，验证权限：

   • 在“服务列表”中选择数据仓库服务，进入DWS主界面，单击右上角“创建数据仓库集群”，尝试创建数据仓库集群，如果无法创建（假设当前权限仅包含DWS ReadOnlyAccess），表示“DWS ReadOnlyAccess”已生效。
   • 在“服务列表”中选择除数据仓库服务之外（假设当前策略仅包含DWS ReadOnlyAccess）的任一服务，若提示权限不足，表示“DWS ReadOnlyAccess”已生效。

教程二：企业项目下的只读操作

1. 创建用户组并授权。

   使用华为云账号登录IAM控制台，创建用户组，并授予数据仓库服务的只读权限“DWS ReadOnlyAccess”。

   

   • 企业项目视图下，跟资源无关的只读操作细粒度权限依旧会提示无权限访问。如事件、告警等相关接口的细粒度。

2. 配置IAM项目视图下相关的事件与告警等只读权限。
   1. 创建如下自定义策略readonly_event_alarm：

      {
          "Version": "1.1",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "dws:alarm*:list*",
                      "dws:cluster*:list*",
                      "dws:dms*:get*",
                      "dws:event*:list*"
                  ]
              }
          ]
      }

   2. 登录IAM控制台，创建用户组并授权刚创建的自定义策略：

3. 创建用户并加入用户组。

   在IAM控制台创建用户，并将其加入步骤1中创建的用户组。

4. 用户登录并验证权限。
   使用新创建的用户登录控制台，切换至授权区域，验证权限：

   • 在“服务列表”中选择数据仓库服务，进入DWS主界面，单击右上角“创建数据仓库集群”，尝试创建数据仓库集群，如果无法创建（假设当前权限仅包含DWS ReadOnlyAccess），表示“DWS ReadOnlyAccess”已生效。
   • 在“服务列表”中选择除数据仓库服务之外（假设当前策略仅包含DWS ReadOnlyAccess）的任一服务，若提示权限不足，表示“DWS ReadOnlyAccess”已生效。