全部產品
Search

搜尋本產品

    AnalyticDB:RAM使用者與許可權

    文件中心

    AnalyticDB:RAM使用者與許可權

    更新時間:Jul 25, 2024

    存取控制RAM(Resource Access Management)是阿里雲提供的許可權管理系統。RAM主要的作用是控制帳號系統的許可權,您可以使用RAM在阿里雲帳號(主帳號)的許可權範圍內建立RAM使用者(子帳號),給不同的RAM使用者指派不同的許可權來允許或拒絕RAM使用者對雲資源的訪問,從而達到授權管理的目的。

    背景資訊

    說明
    • RAM使用者從屬於阿里雲帳號,並且這些RAM使用者下不能擁有實際的任何資源,所有資源都屬於阿里雲帳號。
    • 通過RAM使用者建立AnalyticDB for MySQL叢集後,只能通過該RAM使用者和所屬阿里雲帳號查看或使用叢集;其他RAM使用者需要授權後才能查看或者使用該叢集。

    使用情境

    通過阿里雲帳號建立AnalyticDB for MySQL叢集後,如果您的組織裡有多個使用者需要使用AnalyticDB for MySQL叢集,這些使用者只能共用使用您的雲帳號AccessKey。
    警告 多個使用者共用使用您的雲帳號AccessKey,會存在如下風險。
    • 您的密鑰由多人共用,泄露的風險很高。
    • 您無法控制特定使用者可以對叢集進行哪些操作,例如擴容叢集、重啟叢集等。

    此時,您可以建立RAM使用者,並授予RAM使用者對應的許可權。之後,讓您的使用者通過RAM使用者訪問或管理您的AnalyticDB for MySQL叢集。

    如何?

    通過RAM使用者訪問或者管理AnalyticDB for MySQL叢集需要以下兩個步驟。
    1. 建立RAM使用者
    2. 為RAM使用者授權

    建立RAM使用者

    1. 登入RAM控制台
    2. 單擊左側導覽列的身份管理 > 使用者
    3. 使用者頁面,單擊建立使用者,輸入登入名稱稱顯示名稱
      說明 單擊添加使用者,可一次性建立多個RAM使用者。
    4. 訪問方式地區下,選擇控制台訪問OpenAPI調用訪問
      • 控制台訪問:可以完成對登入安全的基本設定,包括自動產生或自訂登入密碼、是否要求下次登入時重設密碼以及是否要求開啟多因素認證。
      • OpenAPI調用訪問:自動為RAM使用者建立存取金鑰(AccessKey)。RAM使用者可以通過其他開發工具訪問AnalyticDB for MySQL叢集。

      為保障帳號安全,建議僅為RAM使用者選擇一種登入方式。避免RAM使用者離開組織後仍可以通過存取金鑰訪問AnalyticDB for MySQL叢集。

    5. 單擊確認,建立RAM使用者。

    為RAM使用者授權

    1. 登入RAM控制台
    2. 單擊左側導覽列的身份管理 > 使用者
    3. 使用者頁面,單擊目標RAM使用者右側的添加許可權
    4. 添加許可權頁面,權限類別型選擇系統策略,輸入策略名稱稱找到對應的權限原則,單擊將其添加到已選擇框中。
      警告 請勿過度授權。過度授權後操作人員許可權過大,可以隨意操作,可能引發安全風險或造成損失。
      權限原則說明:
      • 基礎版或數倉版叢集的許可權:
        • AliyunADBReadOnlyAccess,唯讀訪問基礎版或數倉版叢集的許可權。
        • AliyunADBFullAccess,管理基礎版或數倉版叢集的許可權。
      • 企業版及湖倉版叢集的許可權:
        • AliyunADBReadOnlyAccess,唯讀訪問企業版及湖倉版叢集的許可權。
        • AliyunADBFullAccess,管理企業版及湖倉版叢集的許可權。
        • AliyunADBDeveloperAccess企業版及湖倉版叢集的開發人員許可權。與AliyunADBFullAccess策略相比,AliyunADBDeveloperAccess不包含叢集的建立、變更配置、刪除、RAM使用者綁定等操作許可權。
    5. 單擊確認,為RAM使用者授權。

      為RAM使用者授予相應的許可權後,您就可以通過RAM使用者訪問或者管理AnalyticDB for MySQL叢集。

    建立權限原則

    如需對RAM使用者進行精細到執行個體層級的操作授權,這種情境需要在RAM中建立自訂權限原則。

    1. 登入RAM控制台
    2. 單擊左側導覽列的許可權管理 > 權限原則
    3. 單擊建立權限原則,本文以建立AnalyticDB for MySQL基礎版或數倉版叢集的系統管理權限為例。
    4. 配置模式選擇指令碼編輯
    5. 輸入配置指令碼,指令碼內容樣本如下。

      管理“am-xxx”執行個體許可權:

      {
    "Version": "1",
    "Statement": [
        {
            "Action": ["adb:DescribeDBClusters", "adb:ListTagResources"],
            "Resource": "acs:adb:*:*:dbcluster/*",
            "Effect": "Allow"
        },
        {
            "Action": "adb:*",
            "Resource": ["acs:adb:*:*:dbcluster/am-xxx"],
            "Effect": "Allow"
        }
    ]
}

      唯讀“am-xxx”執行個體許可權:

      {
    "Version": "1",
    "Statement": [
        {
            "Action": ["adb:DescribeDBClusters", "adb:ListTagResources"],
            "Resource": "acs:adb:*:*:dbcluster/*",
            "Effect": "Allow"
        },
        {
            "Action": "adb:Describe*",
            "Resource": ["acs:adb:*:*:dbcluster/am-xxx"],
            "Effect": "Allow"
        }
    ]
}

      若RAM使用者需要管理或唯讀多個叢集,在指令碼的"Resource": ["acs:adb:*:*:dbcluster/am-xxx"] 中增加相應的叢集ID即可,例如 "Resource": ["acs:adb:*:*:dbcluster/am-xxx", "acs:adb:*:*:dbcluster/am-yyy"]

      權限原則建立完成後,將權限原則授權給對應RAM使用者即可。

    6. 單擊繼續編輯基本資料
    7. 輸入策略名稱稱,單擊確定

    相關文檔