全部產品
Search

搜尋本產品

    Database Autonomy Service:RAM使用者如何使用DAS?

    文件中心

    Database Autonomy Service:RAM使用者如何使用DAS?

    更新時間:Jul 06, 2024

    您可以通過存取控制RAM(Resource Access Management)將DAS的系統管理權限授權給RAM使用者,細分帳號許可權,提升帳號安全性。

    通過系統權限原則授權RAM使用者

    1. 建立RAM使用者,詳情請參見建立RAM使用者

    2. 資料庫自治服務的許可權授予建立的RAM使用者,詳情請參見為RAM使用者授權

    通過自訂權限原則授權RAM使用者

    如果系統權限原則不能滿足您的需求,您可以通過建立自訂權限原則實現精微調權限管理。

    權限原則是用文法結構描述的一組許可權的集合,可以精確地描述被授權的資源集、操作集以及授權條件。RAM支援的權限原則基本元素和語言規範,請參見權限原則基本元素權限原則文法和結構

    1. 建立RAM使用者,詳情請參見建立RAM使用者

    2. 建立自訂權限原則,詳情請參見通過指令碼編輯模式建立自訂權限原則

    3. 將自訂的權限原則授予建立的RAM使用者,詳情請參見為RAM使用者授權

    通過自訂權限原則授權RAM使用者使用SQL洞察和審計的搜尋(包含匯出)功能

    1. 建立具有匯出功能許可權的自訂權限原則,詳情請參見通過指令碼編輯模式建立自訂權限原則

      • RDS執行個體:

        {
  "Version": "1",
  "Statement": [
    {
      "Action":
      [
      "rds:DescribeSQLLogRecordsList",
      "rds:DescribeSqlLogDetailArchiveStatus",
      "rds:StartSqlLogDetailArchive"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}
        說明

        上述自訂權限原則,賦予RAM使用者所有RDS執行個體的匯出許可權,如果您只需要賦予RAM使用者單個RDS執行個體的匯出許可權,請將"Resource": "*"替換為"Resource": "acs:rds:*:*:dbinstance/RDS執行個體ID"

      • PolarDB MySQL版執行個體:

        {
  "Version": "1",
  "Statement": [
    {
      "Action":
      [
      "polardb:DescribeSQLLogRecords",
      "polardb:DescribeSqlLogDetailArchiveStatus",
      "polardb:StartSqlLogDetailArchive"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}
        說明

        上述自訂權限原則,賦予RAM使用者所有PolarDB MySQL版執行個體的匯出許可權,如果您只需要賦予RAM使用者單個PolarDB MySQL執行個體的匯出許可權,請將"Resource": "*"替換為"Resource": "acs:polardb:*:*:dbcluster/PolarDB MySQL版執行個體ID"

      • PolarDB-X 2.0執行個體:

        {
  "Version": "1",
  "Statement": [
    {
      "Action":
      [
      "hdm:DescribeDasSQLLogRecordsList",
      "hdm:DescribeDasSqlLogDetailArchiveStatus",
      "hdm:StartDasSqlLogDetailArchive"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}
        說明

        上述自訂權限原則,賦予RAM使用者所有PolarDB-X 2.0執行個體的匯出許可權,如果您只需要賦予RAM使用者單個PolarDB-X 2.0執行個體的匯出許可權,請將"Resource": "*"替換為"Resource": "acs:polardbx:*:*:instance/PolarDB-X 2.0執行個體ID"

    2. 將建立好的自訂權限原則授權給目標RAM使用者,詳情請參見為RAM使用者授權

      說明

      在資料庫產品的控制台進行匯出操作時,需要確保目標RAM使用者具有資料庫產品控制台的唯讀存取權限

    常見的自訂權限原則

    以RDS執行個體為例,設定單個執行個體的唯讀許可權:

    {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "hdm:Get*",
                "hdm:Describe*",
                "hdm:Query*"
            ],
            "Resource": "acs:rds:*:*:dbinstance/RDS執行個體ID",
            "Effect": "Allow"
        }
    ]
}
    說明

    • 執行個體ID請根據實際替換。

    • 授權後,使用RAM使用者登入DAS控制台時,系統會提示沒有許可權,請聯絡主帳號管理員進行授權,此時請單擊關閉關閉彈出的對話方塊,將performance/instance/執行個體ID/detail拼接到控制台URL之後,重新整理頁面後即可查看目標執行個體的詳情頁面。

    • 您可以將DAS的權限原則添加到資料庫產品的自訂權限原則中,實現對資料庫產品控制台中DAS相關功能的控制。

    對於不同的資料庫執行個體,自訂權限原則中的Resource如下所示,請根據實際情況進行替換:

    • RDS執行個體

      "Resource": "acs:rds:*:*:dbinstance/RDS執行個體ID"

    • Redis執行個體

      "Resource": "acs:kvstore:*:*:*/Redis執行個體ID"

    • MongoDB執行個體

      "Resource": "acs:dds:*:*:dbinstance/MongoDB執行個體ID"

    • PolarDB MySQL版PolarDB PostgreSQL版PolarDB PostgreSQL版(相容Oracle)執行個體

      "Resource": "acs:polardb:*:*:*/PolarDB叢集ID"

    • PolarDB-X 2.0執行個體

      "Resource": "acs:polardbx:*:*:*/PolarDB-X 2.0執行個體ID"