IAM简介
统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务,用户可申请开通后免费使用,您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明,请参见统一身份认证。
IAM涉及的主要概念
主用户 :用户在天翼云注册后自动创建,该用户对其所拥有的资源具有完全的访问权限,可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源,为了确保账号安全,建议创建子用户来进行日常管理工作。
子用户 :由拥有IAM权限的用户,在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台,登录入口与主用户相同,受赋予的权限限制。
用户组 :用户组是用户的集合,IAM通过用户组功能实现用户的授权。您创建的IAM用户,需要加入特定用户组后,才具备对应的权限,否则IAM用户无法访问您帐号中的任何资源或者云服务。
系统策略 :由产品团队维护,系统预置的常用权限集,主要针对不同云服务的只读权限或管理员权限,比如对 ECS 的只读权限、对 ECS 的管理员权限等;系统策略在IAM控制台中只能用于授权,不能编辑和修改。
自定义策略 :由用户自己在IAM控制台创建和管理的权限集,是用户可以自由定义的权限,是对系统策略的扩展和补充。
企业项目 :企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理,通过企业项目将云资源、带有权限的用户组绑定到一起,用户使用企业项目内云资源的权限受用户组的授权限制。
MySQL系统策略
MySQL默认提供三种系统策略供用户选择,策略仅包括数据库管理控制台内的相关功能权限,涉及订单下单等非管理控制台的权限还需进行相应的权限配置。MySQL的三种默认策略分别是管理员策略(MySQL-admin),使用者策略(MySQL-user),浏览者策略(MySQL-reviewer),三种策略的权限模型具体如下:
Ⅱ类型资源池系统策略
Ⅱ类型资源池系统策略分为如下三批次:
第一批(2025年8月13日之前)
| 功能模块 | 权限名称 | MySQL-admin | MySQL-user | MySQL-reviewer |
|---|---|---|---|---|
| 实例管理 | RDS重启实例 | Y | Y | |
| RDS修改端口 | Y | Y | ||
| RDS修改密码 | Y | |||
| RDS修改参数 | Y | Y | ||
| RDS修改参数历史 | Y | Y | ||
| RDS引擎列表 | Y | Y | Y | |
| RDS查询实例id列表 | Y | Y | Y | |
| RDS实例列表 | Y | Y | Y | |
| RDS查询对象存储服务(已下线) | Y | Y | Y | |
| 数据库管理 | RDS数据库详情 | Y | Y | Y |
| RDS创建数据库 | Y | Y | ||
| RDS查询数据库 | Y | Y | Y | |
| RDS查询字符集 | Y | Y | Y | |
| RDS删除数据库 | Y | Y | ||
| RDS修改数据库 | Y | Y | ||
| 账号管理 | RDS账号查询 | Y | Y | Y |
| RDS创建账号 | Y | |||
| RDS修改账号权限 | Y | |||
| RDS修改账号密码 | Y | |||
| 备份恢复 | RDS创建备份 | Y | Y | |
| RDS修改备份策略 | Y | Y | ||
| RDS时间点恢复实例 | Y | Y | ||
| RDS备份集恢复实例 | Y | Y | ||
| 告警规则 | RDS告警阈值 | Y | Y | Y |
| RDS告警规则修改 | Y | Y | ||
| 日志中心 | RDS开启审计 | Y | Y | |
| RDS审计日志 | Y | Y | Y | |
| RDS慢日志 | Y | Y | Y | |
| RDS错误日志 | Y | Y | Y | |
| 参数组管理 | RDS查询参数组列表 | Y | Y | Y |
| RDS参数组名列表 | Y | Y | Y | |
| RDS复制参数组 | Y | Y | ||
| RDS参数组比较 | Y | Y | Y | |
| RDS应用参数组 | Y | Y | ||
| RDS参数组应用历史 | Y | Y | Y | |
| 任务中心 | RDS任务列表 | Y | Y | Y |
| RDS删除任务 | Y | |||
| 标签管理 | RDS查询所有标签(已下线,后续将以新的策略替代) | Y | Y | Y |
| RDS查询标签(已下线,后续将以新的策略替代) | Y | Y | Y | |
| RDS创建标签(已下线,后续将以新的策略替代) | Y | Y | ||
| RDS修改标签(已下线,后续将以新的策略替代) | Y | Y | ||
| 企业项目管理 | 企业项目查看 | Y | Y | Y |
第二批(2025年8月13日之后)
说明
- 自2025年8月13日后,由于关系数据库MySQL版新加了以下系统策略,会导致您之前使用的MySQL-reviewer策略无法进行以下实例相关操作,您可以调整账号的系统策略为MySQL-admin或者MySQL-user或者选择自定义策略。
于2025年8月13日之前的自定义策略已默认添加以下权限,所以您可以继续使用相应子账号进行变更,生命周期管理等以下表中功能,如果您想限制子账号不可进行下面的某些操作,可以自行在自定义策略中将对应的权限条目删除即可。
| 功能模块 | 权限名称 | MySQL-admin | MySQL-user | MySQL-reviewer |
|---|---|---|---|---|
| MySQL变配 | MySQL变更配置 | Y | Y | |
| MySQL变配缩容 | Y | Y | ||
| MySQL生命周期管理 | MySQL开通 | Y | Y | |
| MySQL停止或退订 | Y | Y | ||
| MySQL续订 | Y | Y | ||
| MySQL按需转包周期 | Y | Y | ||
| MySQL包周期转按需 | Y | Y | ||
| MySQL弹性IP | MySQL绑定弹性IP | Y | Y | |
| MySQL解绑弹性IP | Y | Y | ||
| MySQL-ipv6带宽 | MySQL绑定ipv6带宽 | Y | Y | |
| MySQL解绑ipv6带宽 | Y | Y | ||
| MySQL安全组 | MySQL切换安全组 | Y | Y |
第三批(2025年9月23日之后)
说明
自2025年9月23日后,由于关系数据库MySQL版新加了以下系统策略,会导致您之前使用的MySQL-reviewer策略无法进行以下实例相关操作,您可以调整账号的系统策略为MySQL-admin或者MySQL-user或者选择自定义策略。
于2025年9月23日之前的自定义策略已默认添加以下权限,所以您可以继续使用相应子账号进行变更,生命周期管理等以下表中功能,如果您想限制子账号不可进行下面的某些操作,可以自行在自定义策略中将对应的权限条目删除即可。
| 功能模块 | 权限名称 | MySQL-admin | MySQL-user | MySQL-reviewer |
|---|---|---|---|---|
| 实例管理 | MySQL切换策略/复制方式 | Y | Y | |
| MySQL设置监控频率 | Y | Y | ||
| MySQL绑定/解绑实例标签 | Y | Y | ||
| MySQL设置内网域名 | Y | Y | ||
| MySQL设置数据库只读 | Y | Y | ||
| MySQL启用/禁用root账号 | Y | Y | ||
| MySQL修改数据库端口 | Y | Y | ||
| MySQL切换VPC | Y | Y | ||
| MySQL事件定时器 | Y | Y | ||
| MySQL修改实例名称 | Y | Y | ||
| MySQL修改连接地址 | Y | Y | ||
| 日志管理 | MySQL修改实例Binlog本地设置 | Y | Y | |
| MySQL日志服务 | Y | Y | ||
| MySQL-Binlog日志下载 | Y | Y | ||
| MySQL创建合并任务 | Y | Y | ||
| MySQL日志备份清理 | Y | Y | ||
| 帐号管理 | MySQL账户管理/密码插件管理 | Y | Y | |
| 数据安全 | MySQL安装/卸载TDE | Y | Y | |
| MySQL拦截sql语句 | Y | Y | ||
| MySQL白名单配置与修改 | Y | Y | ||
| MySQL添加安全组 | Y | Y | ||
| MySQL解绑安全组 | Y | Y | ||
| MySQL自定义密码策略 | Y | Y | ||
| 数据库代理 | MySQL代理配置 | Y | Y | |
| MySQL代理绑定eip | Y | Y |
Ⅰ类型资源池系统策略
在Ⅰ类型资源池系统策略中,MySQL的三种默认策略分别是管理员策略( RDS2 admin),使用者策略( RDS2 user),浏览者策略( RDS2 viewer),详细策略如下:
| 功能模块 | 权限名称 | RDS2 admin | RDS2 user | RDS2 viewer |
|---|---|---|---|---|
| 实例列表 | 实例详情 | ✓ | ✓ | ✓ |
| 修改实例名 | ✓ | ✓ | ✓ | |
| 重启 | ✓ | ✓ | ||
| 修改密码 | ✓ | |||
| 主备切换 | ✓ | |||
| 应用参数组 | ✓ | |||
| 续订 | ✓ | ✓ | ||
| 退订 | ✓ | ✓ | ||
| 规格扩容 | ✓ | ✓ | ||
| 系列升级 | ✓ | ✓ | ||
| 存储空间扩容 | ✓ | ✓ | ||
| 备份空间扩容 | ✓ | ✓ | ||
| 包周期转按需 | ✓ | ✓ | ||
| 按需转包周期 | ✓ | ✓ | ||
| 创建数据库实例 | ✓ | ✓ | ||
| 修改安全组 | ✓ | ✓ | ||
| 绑定/解绑弹性ip | ✓ | ✓ | ||
| 查看监控 | 数据库 innodb | ✓ | ✓ | ✓ |
| 网络、磁盘、内存、cpu | ✓ | ✓ | ✓ | |
| 数据库 | ✓ | ✓ | ✓ | |
| 基本信息 | 修改端口 | ✓ | ✓ | |
| 开启/关闭ssl | ✓ | ✓ | ||
| 下载CA证书 | ✓ | ✓ | ✓ | |
| 备份恢复 | 提交备份策略 | ✓ | ✓ | |
| 创建备份 | ✓ | ✓ | ||
| 恢复实例 | ✓ | ✓ | ||
| 备份详情 | ✓ | ✓ | ✓ | |
| 删除备份 | ✓ | |||
| 错误日志 | 查询错误日志 | ✓ | ✓ | ✓ |
| 查询慢日志 | ✓ | ✓ | ✓ | |
| 参数设置 | 获取参数列表 | ✓ | ✓ | ✓ |
| 修改历史 | ✓ | ✓ | ✓ | |
| 修改参数组 | ✓ | ✓ | ||
| 自定义告警 | 告警历史列表 | ✓ | ✓ | ✓ |
| 监控规则修改 | ✓ | ✓ | ||
| 告警设置 | ✓ | ✓ | ||
| 账号管理 | 查询账号 | ✓ | ✓ | ✓ |
| 创建账号 | ✓ | ✓ | ||
| 修改数据库账户密码 | ✓ | |||
| 删除账号 | ✓ | |||
| 标签管理 | 查询标签 | ✓ | ✓ | ✓ |
| 添加标签 | ✓ | ✓ | ||
| 编辑标签 | ✓ | ✓ | ||
| 删除标签 | ✓ | |||
| 数据库管理 | 查询数据库 | ✓ | ✓ | ✓ |
| 创建数据库 | ✓ | ✓ | ||
| 编辑数据库 | ✓ | ✓ | ||
| 删除数据库 | ✓ |
如何自定义系统策略
登录天翼云官网,点击头像,并选择帐号中心,左侧边栏单击统一身份认证,进入IAM。
在左侧导航栏,选择策略管理,进入策略管理页面。
您可以在策略列表中查看系统默认策略和当前已创建的策略信息,包括策略名称、策略类型、作用范围等。
单击页面右上角的创建自定义策略。
按照界面提示,设置策略基本信息后,开始设置策略内容。
选择您所需要的云服务,例如关系数据库MySQL版,然后在下方选择您想要定义的读操作和写操作。
单击保存,即可创建成功。
注意
如果您不使用MySQL系统默认的策略,选用自定义策略时,需要在您的策略中添加ctiam:project:query三元组,才可以看到企业项目。
