如何通過自訂策略授權子帳號管理DTS - Data Transmission Service

如果RAM提供的系統策略無法滿足您的業務需求，您可以通過建立自訂策略實現精微調權限管理（例如執行個體或操作層級的授權）。

前提條件

已授予子帳號訪問雲資源的許可權，允許其訪問當前雲帳號下的RDS、ECS等雲資源，則子帳號配置DTS的任務時，DTS可調用相關雲資源資訊。詳情請參見授予DTS訪問雲資源的許可權。

背景資訊

權限原則是用文法結構描述的一組許可權的集合，可以精確地描述被授權的資源集、操作集以及授權條件，詳細的語言規範請參見權限原則文法和結構。

注意事項

子帳號暫不支援配置目標庫為MaxCompute的資料同步作業，需要使用主帳號完成配置。
使用子帳號配置DTS的任務時，如果資料庫是資料庫網關DG或雲企業網CEN接入的，您還需要為子帳號授予AliyunDGFullAccess（管理資料庫網關DG的許可權）或AliyunCENFullAccess（管理雲企業網CEN的許可權）許可權。

步驟一：建立自訂權限原則

使用Resource Access Management員登入RAM控制台。
在左側導覽列，選擇許可權管理 > 權限原則。
在權限原則頁面，單擊建立權限原則。
在建立權限原則頁面，單擊指令碼編輯頁簽。

在權限原則框中，填入具體的權限原則資訊。

權限原則是用文法結構描述的一組許可權的集合，可以精確地描述被授權的資源集、操作集以及授權條件，詳細的語言規範請參見權限原則文法和結構。
當前支援資源（Resource）和操作（Action）層級的授權。
您需要根據業務需求，將下述代碼中的DTS執行個體ID替換為真實的DTS執行個體ID。
授予唯讀許可權可以查詢對應DTS執行個體的任務詳情、任務配置等資訊，不能進行變更操作；授予讀寫權限可以配置、管理對應的執行個體。

重要

您需要確保自訂權限原則中有DescribeBasicConfigs和DescribeDomainRegions兩個內部介面的操作層級的許可權。

常見的自訂權限原則：

樣本1

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "dts:Describe*",
            "Resource": "acs:dts:*:*:instance/DTS執行個體ID"
        }
    ],
    "Version": "1"
}

樣本2

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "dts:*",
            "Resource": [
                "acs:dts:*:*:instance/DTS執行個體ID",
                "acs:dts:*:*:instance/DTS執行個體ID"
            ]
        }
    ],
    "Version": "1"
}

樣本3

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dts:DescribeSynchronizationJobStatus",
                "dts:DescribeSynchronizationJobs"
            ],
            "Resource": "acs:dts:*:*:instance/DTS執行個體ID"
        }
    ],
    "Version": "1"
}

樣本4

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dts:DescribeSubscriptionInstances",
                "dts:StartSynchronizationJob",
                "dts:SuspendSynchronizationJob"
            ],
            "Resource": [
                "acs:dts:*:*:instance/DTS執行個體ID",
                "acs:dts:*:*:instance/DTS執行個體ID",
                "acs:dts:*:*:instance/DTS執行個體ID"
 	    ]
        }
    ],
    "Version": "1"
}

樣本1：單個執行個體的唯讀許可權
樣本2：多個執行個體的讀寫權限
樣本3：查看單個資料同步執行個體配置
樣本4：啟動或暫停多個資料同步執行個體

單擊繼續編輯基本資料。
輸入權限原則名稱和備忘。
檢查並最佳化權限原則內容。
- 基礎權限原則最佳化
  系統會對您添加的權限原則語句自動進行基礎最佳化。基礎權限原則最佳化會完成以下任務：
  - 刪除不必要的條件。
  - 刪除不必要的數組。
- 可選：進階權限原則最佳化
  您可以將滑鼠懸浮在可選：進階策略最佳化上，單擊執行，對權限原則內容進行進階最佳化。進階權限原則最佳化功能會完成以下任務：
  - 拆分不相容操作的資源或條件。
  - 收縮資源到更小範圍。
  - 去重或合并語句。
單擊確定。

步驟二：為RAM使用者授權自訂策略

使用Resource Access Management員登入RAM控制台。
建立RAM使用者。
在左側導覽列，選擇身份管理 > 使用者。
在使用者登入名稱稱/顯示名稱列，找到目標RAM使用者。
單擊目標RAM使用者操作列的添加許可權。
在新增授權面板，為RAM使用者添加許可權。
1. 選擇資源範圍。
  - 帳號層級：許可權在當前阿里雲帳號內生效。
  - 資源群組層級：許可權在指定的資源群組內生效。
    重要
    指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組，詳情請參見支援資源群組的雲端服務。資源群組授權樣本，請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
2. 在權限原則地區的下拉框中，將策略類型選擇許可權為自訂策略。
3. 在文字框中輸入在步驟一中建立的權限原則名稱，進行搜尋。
4. 單擊需要授權的自訂權限原則名稱，將其添加到已選擇權限原則地區框中。
單擊確認新增授權。
授權成功後，單擊關閉。

操作層級授權的常見情境

說明

下表中的DescribeDTSIP、DescribeSubscriptionInstances和DescribeSynchronizationJobs許可權用於擷取執行個體列表。因為RAM使用者可能只有部分執行個體的許可權，所以需要先擷取執行個體列表，然後才能執行相關操作。
如果需要為RAM使用者授予配置資料移轉、同步或訂閱的許可權，您還需要為該使用者配置並授權一個自訂策略，策略內容請參見授予DTS訪問雲資源的許可權。

新版API介面

功能	控制台操作	對應的權限原則
購買執行個體	購買DTS執行個體	CreateDtsInstance
資料移轉或同步	配置DTS遷移或同步任務	ConfigureDtsJob
資料訂閱	配置DTS訂閱任務	ConfigureSubscription
啟動任務	啟動DTS執行個體	StartDtsJob
大量啟動任務	大量啟動DTS執行個體	StartDtsJobs
訂閱任務的消費組管理	新增訂閱任務的消費組	CreateConsumerChannel
	查詢訂閱任務的消費組詳情	DescribeConsumerChannel
	修改訂閱任務的消費組詳情	ModifyConsumerChannel
	刪除訂閱任務的消費組	DeleteConsumerChannel
查詢任務	查詢一個DTS任務詳情	DescribeDtsJobDetail
查詢任務	查詢DTS工作清單及各任務執行詳情	DescribeDtsJobs
修改DTS任務	修改DTS同步任務	ModifyDtsJob
	修改DTS訂閱任務	ModifySubscription
	修改DTS任務名稱	ModifyDtsJobName
重設任務	重設DTS任務	ResetDtsJob
暫停任務	暫停DTS任務	SuspendDtsJob
大量暫停任務	大量暫停DTS任務	SuspendDtsJobs
結束任務	結束DTS任務	StopDtsJob
批量結束任務	批量結束DTS任務	StopDtsJobs
釋放執行個體	釋放DTS執行個體	DeleteDtsJob
批量釋放執行個體	批量釋放DTS執行個體	DeleteDtsJobs
任務警示	建立或修改任務警示規則	CreateJobMonitorRule
任務警示	查詢DTS任務警示規則	DescribeJobMonitorRule
查詢ETL任務	查詢ETL任務詳情	DescribeDtsEtlJobVersionInfo
查詢ETL任務	查詢ETL任務日誌	DescribeEtlJobLogs

舊版API介面

功能	控制台操作	對應的權限原則
資料移轉	建立遷移任務	CreateMigrationJob
	展示遷移工作清單	DescribeMigrationJobs
	展示遷移任務詳情	DescribeMigrationJobs DescribeMigrationJobDetail DescribeMigrationJobStatus
	修改遷移任務名稱	DescribeMigrationJobs ModifyMigrationObject
	配置遷移任務	DescribeMigrationJobs DescribeMigrationJobDetail DescribeMigrationJobStatus CreateMigrationJob
	查看預檢查詳情	DescribeMigrationJobs DescribeMigrationJobStatus
	建立類似任務	DescribeMigrationJobs DescribeMigrationJobDetail DescribeMigrationJobStatus CreateMigrationJob
	監控警示	DescribeMigrationJobs DescribeMigrationJobAlert ConfigureMigrationJobAlert
	修改密碼	DescribeMigrationJobs DescribeMigrationJobDetail ModifyMigrationObject
	啟動遷移任務	DescribeMigrationJobs StartMigrationJob DescribeMigrationJobDetail
	暫停遷移任務	DescribeMigrationJobs SuspendMigrationJob
	查看結構遷移詳情	DescribeMigrationJobs DescribeMigrationJobStatus
	查看全量資料移轉詳情	DescribeMigrationJobs DescribeMigrationJobStatus
	查看增量資料移轉詳情	DescribeMigrationJobs DescribeMigrationJobStatus
	查看全量或增量遷移效能	DescribeMigrationJobs DescribeMigrationJobDetail
	查看任務日誌	DescribeMigrationJobs DescribeMigrationJobDetail
資料訂閱	建立訂閱通道	CreateSubscriptionInstance
	展示訂閱通道列表	DescribeSubscriptionInstances
	查看訂閱通道詳情	DescribeSubscriptionInstances DescribeSubscriptionInstanceStatus
	修改訂閱通道名稱	DescribeSubscriptionInstances ModifySubscriptionObject
	修改訂閱對象	DescribeSubscriptionInstances DescribeSubscriptionInstanceStatus ModifySubscriptionObject
	新增消費組	DescribeSubscriptionInstances CreateConsumerGroup
	查看消費組	DescribeSubscriptionInstances DescribeConsumerGroup
	修改消費組密碼	DescribeSubscriptionInstances ModifyConsumerGroupPassword
	刪除消費組	DescribeSubscriptionInstances DeleteConsumerGroup
	修改執行個體密碼	DescribeSubscriptionInstances DescribeSubscriptionInstanceStatus ModifySubscriptionObject
	釋放訂閱通道	DescribeSubscriptionInstances DeleteSubscriptionInstance
	監控警示	DescribeSubscriptionInstances DescribeSubscriptionInstanceAlert ConfigureSubscriptionInstanceAlert
	配置訂閱通道	DescribeSubscriptionInstances DescribeSubscriptionInstanceStatus ModifySubscriptionObject
	查看任務日誌	DescribeSubscriptionInstances DescribeSubscriptionInstanceStatus
資料同步	建立同步作業	CreateSynchronizationJob
	展示同步作業列表	DescribeSynchronizationJobs
	查看同步作業詳情	DescribeSynchronizationJobs DescribeSynchronizationJobStatus
	修改同步作業名稱	DescribeSynchronizationJobs ModifySynchronizationObject
	查看同步作業配置	DescribeSynchronizationJobs DescribeSynchronizationJobStatus
	查看同步對象	DescribeSynchronizationJobs DescribeSynchronizationJobStatus
	查看結構初始化和全量資料初始化狀態	DescribeSynchronizationJobs DescribeSynchronizationJobStatus
	查看全量或增量同步處理效能	DescribeSynchronizationJobs DescribeSynchronizationJobStatus
	查看同步對象修改記錄	DescribeSynchronizationJobs
	查看任務日誌	DescribeSynchronizationJobs DescribeSynchronizationJobStatus
	配置同步作業	DescribeSynchronizationJobs DescribeSynchronizationJobStatus ModifySynchronizationObject
	啟動同步	DescribeSynchronizationJobs StartSynchronizationJob
	暫停同步	DescribeSynchronizationJobs SuspendSynchronizationJob
	修改同步對象	DescribeSynchronizationJobs DescribeSynchronizationJobStatus ModifySynchronizationObject
	釋放同步	DescribeSynchronizationJobs DeleteSynchronizationJob
	結束同步	DescribeSynchronizationJobs DeleteSynchronizationJob
	監控警示	DescribeSynchronizationJobs DescribeSynchronizationJobAlert ConfigureSynchronizationJobAlert
	修改執行個體密碼	DescribeSynchronizationJobs DescribeSynchronizationJobStatus ModifySubscriptionObject
網路設定	查詢DTS的IP地址	DescribeDTSIP

常見問題

Q：為什麼使用RAM使用者登入DTS控制台會提示下述錯誤，而且不展示執行個體列表資訊？ RAM使用者登入提示

A：由於RAM使用者可能無許可權或只有部分執行個體的許可權，DTS控制台不會展示執行個體列表資訊，您需要從Resource Access Management員處擷取RAM使用者有系統管理權限的DTS執行個體ID，然後在DTS控制台中搜尋對應的執行個體ID進行管理。 RAM登入後搜尋執行個體