このトピックでは、RAM (Resource Access Management) ユーザーのApsaraDB RDS権限を管理する方法について説明します。 RAM コンソールでは、カスタムポリシーを作成して RAM ユーザーにアタッチできます。
背景情報
RAMユーザーのApsaraDB RDS権限を管理する前に、次のシステムポリシーに注意してください。
AliyunRDSFullAccess: RAMユーザーにApsaraDB RDSインスタンスを管理する権限を付与します。
AliyunRDSReadOnlyAccess: ApsaraDB RDSインスタンスに読み取り専用権限を付与します。
これら 2 つのシステムポリシーが業務要件を満たすことができない場合、カスタムポリシーを作成できます。
RAMユーザーのApsaraDB RDS権限を管理する前に、ApsaraDB RDS権限に注意してください。 詳細については、「リソース権限付与にRAMを使用する」をご参照ください。
手順
RAMユーザーを作成します。
詳細については、「RAM ユーザーの作成」をご参照ください。
カスタムポリシーを作成します。
詳細については、「カスタマイズポリシーの作成」および「ポリシーの例」をご参照ください。
ポリシーをRAMユーザーにアタッチします。
詳細については、「RAMユーザーへの権限付与」をご参照ください。
ポリシーの例
例1: RAMユーザーに2つのApsaraDB RDSインスタンスの管理権限を付与します。
Alibaba CloudアカウントでApsaraDB RDSインスタンスrm-abcdxxxx001およびrm-abcdxxxx002を管理する権限をRAMユーザーに付与するには、次のサンプルスクリプトを使用します。
{ "Statement": [ { "Action": "rds:*", "Effect": "Allow", "Resource": [ "acs:rds:*:*:dbinstance/rm-abcdxxxx001", "acs:rds:*:*:dbinstance/rm-abcdxxxx002" ] }, { "Action": "rds:Describe*", "Effect": "Allow", "Resource": "*" } ], "Version": "1" }説明許可されたRAMユーザーはすべてのApsaraDB RDSインスタンスを表示できますが、管理できるのは指定された2つのApsaraDB RDSインスタンスのみです。
Describe *要素はポリシーで必須です。 それ以外の場合、許可されたRAMユーザーはApsaraDB RDSコンソールでインスタンスを表示できません。 ただし、RAMユーザーはAPI操作を呼び出すか、CLIまたはSDKを使用して、指定された2つのApsaraDB RDSインスタンスを管理できます。
例2: RAMユーザーにData Management (DMS) へのアクセスを許可します。
RAMユーザーに特定のApsaraDB RDSインスタンスへのログインを許可するには、次のサンプルスクリプトを使用します。
{ "Statement": [ { "Action": "dms:LoginDatabase", "Effect": "Allow", "Resource": "acs:rds:*:*:dbinstance/rds783a0639ks5k7****" } ], "Version": "1" }説明rds783a0639ks5k7****をApsaraDB RDSインスタンスのIDに置き換える必要があります。RAMユーザーにすべてのApsaraDB RDSインスタンスへのログインを許可するには、次のサンプルスクリプトを使用します。
{ "Statement": [ { "Action": "dms:LoginDatabase", "Effect": "Allow", "Resource": "acs:rds:*:*:*" } ], "Version": "1" }