全部產品
Search
文件中心

Database Autonomy Service:RAM使用者如何使用DAS?

更新時間:Jul 06, 2024

您可以通過存取控制RAM(Resource Access Management)將DAS的系統管理權限授權給RAM使用者,細分帳號許可權,提升帳號安全性。

通過系統權限原則授權RAM使用者

  1. 建立RAM使用者,詳情請參見建立RAM使用者

  2. 資料庫自治服務的許可權授予建立的RAM使用者,詳情請參見為RAM使用者授權

通過自訂權限原則授權RAM使用者

如果系統權限原則不能滿足您的需求,您可以通過建立自訂權限原則實現精微調權限管理。

權限原則是用文法結構描述的一組許可權的集合,可以精確地描述被授權的資源集、操作集以及授權條件。RAM支援的權限原則基本元素和語言規範,請參見權限原則基本元素權限原則文法和結構

  1. 建立RAM使用者,詳情請參見建立RAM使用者

  2. 建立自訂權限原則,詳情請參見通過指令碼編輯模式建立自訂權限原則

  3. 將自訂的權限原則授予建立的RAM使用者,詳情請參見為RAM使用者授權

通過自訂權限原則授權RAM使用者使用SQL洞察和審計的搜尋(包含匯出)功能

  1. 建立具有匯出功能許可權的自訂權限原則,詳情請參見通過指令碼編輯模式建立自訂權限原則

    • RDS執行個體:

      {
        "Version": "1",
        "Statement": [
          {
            "Action":
            [
            "rds:DescribeSQLLogRecordsList",
            "rds:DescribeSqlLogDetailArchiveStatus",
            "rds:StartSqlLogDetailArchive"
            ],
            "Resource": "*",
            "Effect": "Allow"
          }
        ]
      }
      說明

      上述自訂權限原則,賦予RAM使用者所有RDS執行個體的匯出許可權,如果您只需要賦予RAM使用者單個RDS執行個體的匯出許可權,請將"Resource": "*"替換為"Resource": "acs:rds:*:*:dbinstance/RDS執行個體ID"

    • PolarDB MySQL版執行個體:

      {
        "Version": "1",
        "Statement": [
          {
            "Action":
            [
            "polardb:DescribeSQLLogRecords",
            "polardb:DescribeSqlLogDetailArchiveStatus",
            "polardb:StartSqlLogDetailArchive"
            ],
            "Resource": "*",
            "Effect": "Allow"
          }
        ]
      }
      說明

      上述自訂權限原則,賦予RAM使用者所有PolarDB MySQL版執行個體的匯出許可權,如果您只需要賦予RAM使用者單個PolarDB MySQL執行個體的匯出許可權,請將"Resource": "*"替換為"Resource": "acs:polardb:*:*:dbcluster/PolarDB MySQL版執行個體ID"

    • PolarDB-X 2.0執行個體:

      {
        "Version": "1",
        "Statement": [
          {
            "Action":
            [
            "hdm:DescribeDasSQLLogRecordsList",
            "hdm:DescribeDasSqlLogDetailArchiveStatus",
            "hdm:StartDasSqlLogDetailArchive"
            ],
            "Resource": "*",
            "Effect": "Allow"
          }
        ]
      }
      說明

      上述自訂權限原則,賦予RAM使用者所有PolarDB-X 2.0執行個體的匯出許可權,如果您只需要賦予RAM使用者單個PolarDB-X 2.0執行個體的匯出許可權,請將"Resource": "*"替換為"Resource": "acs:polardbx:*:*:instance/PolarDB-X 2.0執行個體ID"

  2. 將建立好的自訂權限原則授權給目標RAM使用者,詳情請參見為RAM使用者授權

    說明

    在資料庫產品的控制台進行匯出操作時,需要確保目標RAM使用者具有資料庫產品控制台的唯讀存取權限

常見的自訂權限原則

以RDS執行個體為例,設定單個執行個體的唯讀許可權:

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "hdm:Get*",
                "hdm:Describe*",
                "hdm:Query*"
            ],
            "Resource": "acs:rds:*:*:dbinstance/RDS執行個體ID",
            "Effect": "Allow"
        }
    ]
}
說明
  • 執行個體ID請根據實際替換。

  • 授權後,使用RAM使用者登入DAS控制台時,系統會提示沒有許可權,請聯絡主帳號管理員進行授權,此時請單擊關閉關閉彈出的對話方塊,將performance/instance/執行個體ID/detail拼接到控制台URL之後,重新整理頁面後即可查看目標執行個體的詳情頁面。

  • 您可以將DAS的權限原則添加到資料庫產品的自訂權限原則中,實現對資料庫產品控制台中DAS相關功能的控制。

對於不同的資料庫執行個體,自訂權限原則中的Resource如下所示,請根據實際情況進行替換:

  • RDS執行個體

    "Resource": "acs:rds:*:*:dbinstance/RDS執行個體ID"
  • Redis執行個體

    "Resource": "acs:kvstore:*:*:*/Redis執行個體ID"
  • MongoDB執行個體

    "Resource": "acs:dds:*:*:dbinstance/MongoDB執行個體ID"
  • PolarDB MySQL版PolarDB PostgreSQL版PolarDB PostgreSQL版(相容Oracle)執行個體

    "Resource": "acs:polardb:*:*:*/PolarDB叢集ID"
  • PolarDB-X 2.0執行個體

    "Resource": "acs:polardbx:*:*:*/PolarDB-X 2.0執行個體ID"