操作场景
您可以通过使用访问管理(Cloud Access Management,CAM)策略让用户拥有在 PostgreSQL 控制台 中查看和使用特定资源的权限。本文档提供了查看和使用特定资源的权限示例,指导用户如何使用控制台的特定部分的策略。 操作步骤
注意:
如果您想要控制某一个用户只拥有某些特定的接口权限,那么需要至少包含以下接口的权限,否则控制台将无法正常显示。
其中 action 示例为:
"action": [
"postgres:DescribeProductConfig",
"postgres:InquiryPriceCreateDBInstances",
"postgres:DescribeRegions",
"postgres:DescribeZones"
]
注意:
如果您想要用户具有实例的监控查看权限,则需要添加 monitor 相关的接口权限,action 示例如下:
{"effect": "allow",
"action": [
"monitor:Get*",
"monitor:Describe*"
],
"resource": "*"
}
PostgreSQL 的全读写策略
如果您希望用户拥有创建和管理 PostgreSQL 实例的权限,您可以对该用户使用名称为:QcloudPostgreSQLFullAccess 的策略。
该策略可让用户拥有 PostgreSQL 中所有资源的操作权限。具体操作步骤如下:
参考 授权管理,将预设策略 QcloudPostgreSQLFullAccess 授权给用户。 PostgreSQL 的只读策略
如果您希望用户拥有查询 PostgreSQL 实例的权限,但是不具有创建、删除、修改的权限,您可以对该用户使用名称为:QcloudPostgreSQLReadOnlyAccess 的策略。
该策略可让用户拥有 PostgreSQL 中所有以单词 “Describe” 和 “Inquiry” 开头的操作的权限。具体操作步骤如下:
参考 授权管理,将预设策略 PostgreSQL 授权给用户。 授权用户拥有特定实例的操作权限策略
如果您希望授权用户拥有特定 PostgreSQL 操作权限,可将以下策略关联到该用户。具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。
该示例策略允许用户拥有实例 ID 为 postgres-0xxxx8e 的 PostgreSQL 实例的所有操作权限,策略内容可参考以下策略语法进行设置: {
"version": "2.0",
"statement": [
{
"action": "postgres:*",
"resource": "qcs::postgres:ap-shanghai:103xxx1481:DBInstanceId/postgres-0xxxx8e",
"effect": "allow"
}
]
}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组。
3. 在弹出的关联用户/用户组窗口中,选择您需要授权的用户/组,单击确定。
授权用户拥有 PostgreSQL 所有资源的操作权限策略
如果您希望授权用户拥有 PostgreSQL 所有资源的操作权限,可将以下策略关联到该用户。具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。
该示例策略允许用户拥有对 PostgreSQL 所有资源的操作权限,策略内容可参考以下策略语法进行设置: {
"version": "2.0",
"statement": [
{
"action": "postgres:*",
"resource": "qcs::postgres:::*",
"effect": "allow"
}
]
}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组。
3. 在弹出的关联用户/用户组窗口中,选择您需要授权的用户/组,单击确定。
禁止用户拥有特定 PostgreSQL 部分实例的所有权限策略
如果您希望禁止用户拥有特定 PostgreSQL 部分实例的操作权限,可将以下策略关联到该用户。具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。
该示例策略禁止用户拥有对实例(ID 为 postgres-c8xxxa4 和 postgres-d8xxxb4)的操作权限,策略内容可参考以下策略语法进行设置: {
"version": "2.0",
"statement": [
{
"action": "postgres:*",
"resource": [
"qcs::postgres::16xxx472:DBInstanceId/postgres-c8xxxa4",
"qcs::postgres::16xxx472:DBInstanceId/postgres-d8xxxb4",
],
"effect": "deny"
}
]
}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组。
3. 在弹出的关联用户/用户组窗口中,选择您需要授权的用户/组,单击确定。
自定义策略
如果您觉得预设策略不能满足您的要求,您可以通过创建自定义策略达到目的。
具体操作步骤请参考 策略。
更多 PostgreSQL 相关的策略语法请参考 授权策略语法。
本页内容是否解决了您的问题?