您可以通過存取控制RAM(Resource Access Management)將DAS的系統管理權限授權給RAM使用者,細分帳號許可權,提升帳號安全性。
通過系統權限原則授權RAM使用者
建立RAM使用者,詳情請參見建立RAM使用者。
將資料庫自治服務的許可權授予建立的RAM使用者,詳情請參見為RAM使用者授權。
AliyunHDMFullAccess:為RAM使用者授予DAS的完全系統管理權限。
AliyunHDMReadOnlyAccess:為RAM使用者授予DAS的唯讀存取權限。
AliyunHDMReadOnlyWithSQLLogArchiveAccess:為RAM使用者授予DAS的唯讀存取權限,以及使用SQL洞察和審計的搜尋(審計)(包含匯出)功能的許可權。
說明您也可以通過自訂權限原則授予RAM使用者使用SQL洞察和審計的搜尋(審計)(包含匯出)功能的許可權,詳情請參見通過自訂權限原則授權RAM使用者使用SQL洞察和審計的搜尋(包含匯出)功能。
通過自訂權限原則授權RAM使用者
如果系統權限原則不能滿足您的需求,您可以通過建立自訂權限原則實現精微調權限管理。
權限原則是用文法結構描述的一組許可權的集合,可以精確地描述被授權的資源集、操作集以及授權條件。RAM支援的權限原則基本元素和語言規範,請參見權限原則基本元素和權限原則文法和結構。
建立RAM使用者,詳情請參見建立RAM使用者。
建立自訂權限原則,詳情請參見通過指令碼編輯模式建立自訂權限原則。
將自訂的權限原則授予建立的RAM使用者,詳情請參見為RAM使用者授權。
通過自訂權限原則授權RAM使用者使用SQL洞察和審計的搜尋(包含匯出)功能
建立具有匯出功能許可權的自訂權限原則,詳情請參見通過指令碼編輯模式建立自訂權限原則。
RDS執行個體:
{ "Version": "1", "Statement": [ { "Action": [ "rds:DescribeSQLLogRecordsList", "rds:DescribeSqlLogDetailArchiveStatus", "rds:StartSqlLogDetailArchive" ], "Resource": "*", "Effect": "Allow" } ] }
說明上述自訂權限原則,賦予RAM使用者所有RDS執行個體的匯出許可權,如果您只需要賦予RAM使用者單個RDS執行個體的匯出許可權,請將
"Resource": "*"
替換為"Resource": "acs:rds:*:*:dbinstance/RDS執行個體ID"
。PolarDB MySQL版執行個體:
{ "Version": "1", "Statement": [ { "Action": [ "polardb:DescribeSQLLogRecords", "polardb:DescribeSqlLogDetailArchiveStatus", "polardb:StartSqlLogDetailArchive" ], "Resource": "*", "Effect": "Allow" } ] }
說明上述自訂權限原則,賦予RAM使用者所有PolarDB MySQL版執行個體的匯出許可權,如果您只需要賦予RAM使用者單個PolarDB MySQL執行個體的匯出許可權,請將
"Resource": "*"
替換為"Resource": "acs:polardb:*:*:dbcluster/PolarDB MySQL版執行個體ID"
。PolarDB-X 2.0執行個體:
{ "Version": "1", "Statement": [ { "Action": [ "hdm:DescribeDasSQLLogRecordsList", "hdm:DescribeDasSqlLogDetailArchiveStatus", "hdm:StartDasSqlLogDetailArchive" ], "Resource": "*", "Effect": "Allow" } ] }
說明上述自訂權限原則,賦予RAM使用者所有PolarDB-X 2.0執行個體的匯出許可權,如果您只需要賦予RAM使用者單個PolarDB-X 2.0執行個體的匯出許可權,請將
"Resource": "*"
替換為"Resource": "acs:polardbx:*:*:instance/PolarDB-X 2.0執行個體ID"
。
將建立好的自訂權限原則授權給目標RAM使用者,詳情請參見為RAM使用者授權。
說明在資料庫產品的控制台進行匯出操作時,需要確保目標RAM使用者具有資料庫產品控制台的唯讀存取權限。
常見的自訂權限原則
以RDS執行個體為例,設定單個執行個體的唯讀許可權:
{
"Version": "1",
"Statement": [
{
"Action": [
"hdm:Get*",
"hdm:Describe*",
"hdm:Query*"
],
"Resource": "acs:rds:*:*:dbinstance/RDS執行個體ID",
"Effect": "Allow"
}
]
}
執行個體ID請根據實際替換。
授權後,使用RAM使用者登入DAS控制台時,系統會提示沒有許可權,請聯絡主帳號管理員進行授權,此時請單擊關閉彈出的對話方塊,將
performance/instance/執行個體ID/detail
拼接到控制台URL之後,重新整理頁面後即可查看目標執行個體的詳情頁面。您可以將DAS的權限原則添加到資料庫產品的自訂權限原則中,實現對資料庫產品控制台中DAS相關功能的控制。
對於不同的資料庫執行個體,自訂權限原則中的Resource
如下所示,請根據實際情況進行替換:
RDS執行個體
"Resource": "acs:rds:*:*:dbinstance/RDS執行個體ID"
Redis執行個體
"Resource": "acs:kvstore:*:*:*/Redis執行個體ID"
MongoDB執行個體
"Resource": "acs:dds:*:*:dbinstance/MongoDB執行個體ID"
PolarDB MySQL版、PolarDB PostgreSQL版和PolarDB PostgreSQL版(相容Oracle)執行個體
"Resource": "acs:polardb:*:*:*/PolarDB叢集ID"
PolarDB-X 2.0執行個體
"Resource": "acs:polardbx:*:*:*/PolarDB-X 2.0執行個體ID"