ApsaraDB for OceanBase：資料轉送遷移角色授權

背景資訊

資料轉送的帳號登入體系與阿里雲保持一致，統一採用 RAM 主帳號或 RAM 使用者登入的方式。詳情請參見 存取控制 RAM 官方文檔。

• 阿里雲帳號（即主帳號）是阿里雲資源的歸屬及使用計量計費的基本主體，負責產生本企業組織下的 RAM 使用者，並對 RAM 使用者進行管理、授權等操作。

• RAM 使用者由主帳號在 RAM 系統中建立並管理，本身不擁有資源，也沒有獨立的計量計費，這些帳號由所屬主帳號統一控制和付費。

主帳號進行資料轉送遷移角色授權

資料轉送需要具備雲資源存取權限。當登入帳號為主帳號但未授權時，需要進入阿里雲控制台進行資料轉送遷移角色授權。

1. 使用主帳號登入 OceanBase 管理主控台。

2. 展開左側導覽列 資料轉送，進入任一導航頁面。

3. 根據授權提醒單擊 前往 RAM 角色授權。

4. 確認頁面內容無誤後，單擊 同意授權，完成授權操作。

5. 返回並重新整理資料轉送頁面。

RAM 使用者進行資料轉送遷移角色授權

資料轉送需要具備雲資源存取權限。當登入帳號為 RAM 使用者但未授權時，需要進入阿里雲控制台進行資料轉送遷移角色授權。

1. RAM 使用者登入 OceanBase 管理主控台。

2. 展開左側導覽列 資料轉送，進入任一導航頁面。

3. 根據授權提醒單擊 前往 RAM 角色授權。

   您也可以單擊 切換主帳號登入，使用Data Transmission Service。

4. 確認頁面內容無誤後，單擊 同意授權，完成授權操作。

5. 返回並重新整理資料轉送頁面。

如果 RAM 使用者授權失敗，您可以進行以下三種方式的操作：

• 切換至主帳號登入控制台。

• 主帳號授予當前 RAM 使用者 RAM 授權許可權。

  1. 主帳號登入 RAM 控制台。

  2. 在左側導覽列，單擊 身份管理 > 使用者。

  3. 在 使用者 頁面，單擊目標 RAM 使用者操作列的 添加許可權。

  4. 在 添加許可權 對話方塊的 系統策略 頁簽，搜尋並選中 AliyunRAMFullAccess，添加在右側 已選擇 列表中。

     當前 RAM 使用者添加 RAM 授權許可權後，再次進行資料轉送遷移角色授權操作即可。

     

  5. 單擊 確定。

  6. 單擊 完成。

• 切換至其它具備資料轉送遷移角色授權許可權的 RAM 使用者登入控制台。

（可選）切換主帳號登入控制台

（可選）主帳號授予 RAM 使用者資料轉送遷移角色授權許可權

RAM 使用者需要具備資料轉送遷移角色 AliyunOceanbaseMigrationServiceRolePolicy，才可以正常訪問資料轉送。如果 RAM 使用者未具備該角色，則需要主帳號先登入 RAM 控制台，手動給資料轉送遷移角色添加許可權。

1. 主帳號登入 RAM 控制台。

2. 建立資料轉送遷移角色。

   1. 在左側導覽列，單擊 身份管理 > 角色。

   2. 在 角色 頁面，單擊 建立角色。

   3. 在 建立角色 對話方塊，選擇可信實體類型為 阿里雲帳號，單擊 下一步。

   4. 在 配置角色 頁面，配置各項參數。

      參數	描述
      角色名稱	輸入 AliyunOceanbaseMigrationServiceRole。
      備忘（可選）	建立角色的備忘資訊。
      選擇信任的雲帳號	當前雲帳號：當您允許當前阿里雲帳號下的 RAM 使用者扮演該 RAM 角色時，您可以選擇 當前雲帳號。 其他雲帳號：當您允許其它阿里雲帳號下的 RAM 使用者扮演該 RAM 角色時，您可以選擇 其他雲帳號，然後輸入其他阿里雲帳號 ID。該項主要針對跨阿里雲帳號的資源授權訪問情境。

   5. 單擊 完成。

3. 建立資料轉送擷取 RDS 資訊的權限原則。

   1. 返回 角色 頁面，單擊建立角色後的 添加許可權。

   2. 在 添加許可權 對話方塊，單擊 選擇許可權 下的 建立權限原則。

      

   3. 在 建立權限原則 頁面，單擊 指令碼編輯，輸入下述權限原則語句。

      {
          "Statement": [
              {
                  "Action": [
                      "rds:DescribeDBInstances",
                      "rds:DescribeDBInstanceNetInfo",
                      "rds:DescribeDBInstanceIPArrayList",
                      "rds:ModifySecurityIps"
                  ],
                  "Resource": "*",
                  "Effect": "Allow"
              },
              {
                  "Action": [
                      "vpc:DescribeVpcs",
                      "vpc:DescribeVSwitches"
                  ],
                  "Resource": "*",
                  "Effect": "Allow"
              },
              {
                  "Action": [
                      "polardb:DescribeDBClusterIPArrayList",
                      "polardb:DescribeDBClusterNetInfo",
                      "polardb:DescribeDBClusters",
                      "polardb:DescribeRegions",
                      "polardb:DescribeDBClusterEndpoints",
                      "polardb:DescribeDBClusterAccessWhitelist",
                      "polardb:ModifyDBClusterAccessWhitelist"
                  ],
                  "Resource": "*",
                  "Effect": "Allow"
              },
              {
                  "Action": [
                      "dg:GetUserGatewayInstances",
                      "dg:GetUserGateways",
                      "dg:GetUserDatabases",
                      "dg:ListDatabaseAccessPoint",
                      "dg:DescribeRegions",
                      "dg:FindUserGatewayById"
                  ],
                  "Resource": "*",
                  "Effect": "Allow"
              },
              {
                  "Action": [
                      "adb:DescribeDBClusters",
                      "adb:DescribeDBClusterAttribute",
                      "adb:DescribeAutoRenewAttribute",
                      "adb:DescribeAvailableResource",
                      "adb:DescribeDBResourcePool",
                      "adb:DescribeElasticDailyPlan",
                      "adb:DescribeElasticPlan",
                      "adb:DescribeTables",
                      "adb:DescribeAllDataSource",
                      "adb:DescribeSchemas",
                      "adb:DescribeColumns",
                      "adb:DescribeTablePartitionDiagnose",
                      "adb:DescribeRegions",
                      "adb:DescribeDBClusterNetInfo",
                      "adb:DescribeDBClusterAccessWhiteList",
                      "adb:ModifyDBClusterAccessWhiteList"
                  ],
                  "Resource": "*",
                  "Effect": "Allow"
              },
              {
                  "Action": [
                      "dms:ListUsers",
                      "dms:ListUserTenants",
                      "dms:ListColumns",
                      "dms:ListIndexes",
                      "dms:ListDatabases",
                      "dms:ListLogicDatabases",
                      "dms:ListTables",
                      "dms:ListLogicTables",
                      "dms:ListInstances",
                      "dms:GetUserActiveTenant",
                      "dms:GetTableDBTopology",
                      "dms:SearchDatabase",
                      "dms:SearchTable"
                  ],
                  "Resource": "*",
                  "Effect": "Allow"
              },
              {
                  "Action": [
                      "cms:DescribeContactList",
                      "cms:DescribeMonitorGroups",
                      "cms:DescribeMonitorGroupInstances",
                      "cms:DescribeCustomMetricList",
                      "cms:DescribeSystemEventMetaList",
                      "cms:DescribeSystemEventCount",
                      "cms:DescribeSystemEventAttribute",
                      "cms:DescribeSystemEventHistogram",
                      "cms:DescribeCustomEventCount",
                      "cms:DescribeCustomEventAttribute",
                      "cms:DescribeCustomEventHistogram",
                      "cms:CreateMonitorGroup",
                      "cms:PutCustomEvent",
                      "cms:PutCustomMetric",
                      "cms:PutContactGroup",
                      "cms:PutCustomMetricRule"
                  ],
                  "Resource": "*",
                  "Effect": "Allow"
              },
              {
                  "Action": [
                      "alikafka:ListInstance",
                      "alikafka:UpdateInstance",
                      "alikafka:ReadOnly"
                  ],
                  "Resource": "*",
                  "Effect": "Allow"
              },
              {
                  "Effect": "Allow",
                  "Action": [
                      "ecs:DescribeVSwitches",
                      "ecs:DescribeSecurityGroups",
                      "ecs:CreateSecurityGroup",
                      "ecs:DeleteSecurityGroup",
                      "ecs:CreateNetworkInterface",
                      "ecs:DescribeNetworkInterfaces",
                      "ecs:CreateNetworkInterfacePermission",
                      "ecs:DescribeNetworkInterfacePermissions",
                      "ecs:DeleteNetworkInterface"
                  ],
                  "Resource": "*"
              }
          ],
          "Version": "1"
      }

   4. 單擊 下一步：編輯基本資料。

   5. 輸入權限原則的 名稱 後，單擊 確定。

4. 為 RAM 角色添加許可權。

   1. 返回 角色 頁面，單擊建立角色後的 添加許可權。

   2. 在 添加許可權 對話方塊，單擊 選擇許可權 下的 自訂策略。

   3. 搜尋並選中建立的權限原則，即可添加在右側 已選擇 列表中。

   4. 單擊 確定。