如果RAM提供的系統策略無法滿足您的業務需求,您可以通過建立自訂策略實現精微調權限管理(例如執行個體或操作層級的授權)。
前提條件
已授予子帳號訪問雲資源的許可權,允許其訪問當前雲帳號下的RDS、ECS等雲資源,則子帳號配置DTS的任務時,DTS可調用相關雲資源資訊。詳情請參見授予DTS訪問雲資源的許可權。
背景資訊
權限原則是用文法結構描述的一組許可權的集合,可以精確地描述被授權的資源集、操作集以及授權條件,詳細的語言規範請參見權限原則文法和結構。
注意事項
子帳號暫不支援配置目標庫為MaxCompute的資料同步作業,需要使用主帳號完成配置。
使用子帳號配置DTS的任務時,如果資料庫是資料庫網關DG或雲企業網CEN接入的,您還需要為子帳號授予AliyunDGFullAccess(管理資料庫網關DG的許可權)或AliyunCENFullAccess(管理雲企業網CEN的許可權)許可權。
步驟一:建立自訂權限原則
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在權限原則頁面,單擊建立權限原則。
在建立權限原則頁面,單擊指令碼編輯頁簽。
在權限原則框中,填入具體的權限原則資訊。
權限原則是用文法結構描述的一組許可權的集合,可以精確地描述被授權的資源集、操作集以及授權條件,詳細的語言規範請參見權限原則文法和結構。
當前支援資源(Resource)和操作(Action)層級的授權。
您需要根據業務需求,將下述代碼中的
DTS執行個體ID
替換為真實的DTS執行個體ID。授予唯讀許可權可以查詢對應DTS執行個體的任務詳情、任務配置等資訊,不能進行變更操作;授予讀寫權限可以配置、管理對應的執行個體。
重要您需要確保自訂權限原則中有DescribeBasicConfigs和DescribeDomainRegions兩個內部介面的操作層級的許可權。
常見的自訂權限原則:
樣本1
{ "Statement": [ { "Effect": "Allow", "Action": "dts:Describe*", "Resource": "acs:dts:*:*:instance/DTS執行個體ID" } ], "Version": "1" }
樣本2
{ "Statement": [ { "Effect": "Allow", "Action": "dts:*", "Resource": [ "acs:dts:*:*:instance/DTS執行個體ID", "acs:dts:*:*:instance/DTS執行個體ID" ] } ], "Version": "1" }
樣本3
{ "Statement": [ { "Effect": "Allow", "Action": [ "dts:DescribeSynchronizationJobStatus", "dts:DescribeSynchronizationJobs" ], "Resource": "acs:dts:*:*:instance/DTS執行個體ID" } ], "Version": "1" }
樣本4
{ "Statement": [ { "Effect": "Allow", "Action": [ "dts:DescribeSubscriptionInstances", "dts:StartSynchronizationJob", "dts:SuspendSynchronizationJob" ], "Resource": [ "acs:dts:*:*:instance/DTS執行個體ID", "acs:dts:*:*:instance/DTS執行個體ID", "acs:dts:*:*:instance/DTS執行個體ID" ] } ], "Version": "1" }
樣本1:單個執行個體的唯讀許可權
樣本2:多個執行個體的讀寫權限
樣本3:查看單個資料同步執行個體配置
樣本4:啟動或暫停多個資料同步執行個體
單擊確定。
輸入權限原則名稱和備忘。
單擊確定。
步驟二:為RAM使用者授權自訂策略
使用Resource Access Management員登入RAM控制台。
可選:建立RAM使用者。
更多資訊,請參見建立RAM使用者。
在左側導覽列,選擇 。
在使用者登入名稱稱/顯示名稱列,找到目標RAM使用者。
單擊目標RAM使用者操作列的添加許可權。
在新增授權面板,為RAM使用者添加許可權。
選擇資源範圍。
帳號層級:許可權在當前阿里雲帳號內生效。
資源群組層級:許可權在指定的資源群組內生效。
重要指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組,詳情請參見支援資源群組的雲端服務。資源群組授權樣本,請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
在權限原則地區的下拉框中,將策略類型選擇許可權為自訂策略。
在文字框中輸入在步驟一中建立的權限原則名稱,進行搜尋。
單擊需要授權的自訂權限原則名稱,將其添加到已選擇權限原則地區框中。
單擊確認新增授權。
授權成功後,單擊關閉。
操作層級授權的常見情境
下表中的
DescribeDTSIP
、DescribeSubscriptionInstances
和DescribeSynchronizationJobs
許可權用於擷取執行個體列表。因為RAM使用者可能只有部分執行個體的許可權,所以需要先擷取執行個體列表,然後才能執行相關操作。如果需要為RAM使用者授予配置資料移轉、同步或訂閱的許可權,您還需要為該使用者配置並授權一個自訂策略,策略內容請參見授予DTS訪問雲資源的許可權。
新版API介面
功能
控制台操作
對應的權限原則
購買執行個體
購買DTS執行個體
CreateDtsInstance
資料移轉或同步
配置DTS遷移或同步任務
ConfigureDtsJob
資料訂閱
配置DTS訂閱任務
ConfigureSubscription
啟動任務
啟動DTS執行個體
StartDtsJob
大量啟動任務
大量啟動DTS執行個體
StartDtsJobs
訂閱任務的消費組管理
新增訂閱任務的消費組
CreateConsumerChannel
查詢訂閱任務的消費組詳情
DescribeConsumerChannel
修改訂閱任務的消費組詳情
ModifyConsumerChannel
刪除訂閱任務的消費組
DeleteConsumerChannel
查詢任務
查詢一個DTS任務詳情
DescribeDtsJobDetail
查詢DTS工作清單及各任務執行詳情
DescribeDtsJobs
修改DTS任務
修改DTS同步任務
ModifyDtsJob
修改DTS訂閱任務
ModifySubscription
修改DTS任務名稱
ModifyDtsJobName
重設任務
重設DTS任務
ResetDtsJob
暫停任務
暫停DTS任務
SuspendDtsJob
大量暫停任務
大量暫停DTS任務
SuspendDtsJobs
結束任務
結束DTS任務
StopDtsJob
批量結束任務
批量結束DTS任務
StopDtsJobs
釋放執行個體
釋放DTS執行個體
DeleteDtsJob
批量釋放執行個體
批量釋放DTS執行個體
DeleteDtsJobs
任務警示
建立或修改任務警示規則
CreateJobMonitorRule
查詢DTS任務警示規則
DescribeJobMonitorRule
查詢ETL任務
查詢ETL任務詳情
DescribeDtsEtlJobVersionInfo
查詢ETL任務日誌
DescribeEtlJobLogs
舊版API介面
功能
控制台操作
對應的權限原則
資料移轉
建立遷移任務
CreateMigrationJob
展示遷移工作清單
DescribeMigrationJobs
展示遷移任務詳情
DescribeMigrationJobs
DescribeMigrationJobDetail
DescribeMigrationJobStatus
修改遷移任務名稱
DescribeMigrationJobs
ModifyMigrationObject
配置遷移任務
DescribeMigrationJobs
DescribeMigrationJobDetail
DescribeMigrationJobStatus
CreateMigrationJob
查看預檢查詳情
DescribeMigrationJobs
DescribeMigrationJobStatus
建立類似任務
DescribeMigrationJobs
DescribeMigrationJobDetail
DescribeMigrationJobStatus
CreateMigrationJob
監控警示
DescribeMigrationJobs
DescribeMigrationJobAlert
ConfigureMigrationJobAlert
修改密碼
DescribeMigrationJobs
DescribeMigrationJobDetail
ModifyMigrationObject
啟動遷移任務
DescribeMigrationJobs
StartMigrationJob
DescribeMigrationJobDetail
暫停遷移任務
DescribeMigrationJobs
SuspendMigrationJob
查看結構遷移詳情
DescribeMigrationJobs
DescribeMigrationJobStatus
查看全量資料移轉詳情
DescribeMigrationJobs
DescribeMigrationJobStatus
查看增量資料移轉詳情
DescribeMigrationJobs
DescribeMigrationJobStatus
查看全量或增量遷移效能
DescribeMigrationJobs
DescribeMigrationJobDetail
查看任務日誌
DescribeMigrationJobs
DescribeMigrationJobDetail
資料訂閱
建立訂閱通道
CreateSubscriptionInstance
展示訂閱通道列表
DescribeSubscriptionInstances
查看訂閱通道詳情
DescribeSubscriptionInstances
DescribeSubscriptionInstanceStatus
修改訂閱通道名稱
DescribeSubscriptionInstances
ModifySubscriptionObject
修改訂閱對象
DescribeSubscriptionInstances
DescribeSubscriptionInstanceStatus
ModifySubscriptionObject
新增消費組
DescribeSubscriptionInstances
CreateConsumerGroup
查看消費組
DescribeSubscriptionInstances
DescribeConsumerGroup
修改消費組密碼
DescribeSubscriptionInstances
ModifyConsumerGroupPassword
刪除消費組
DescribeSubscriptionInstances
DeleteConsumerGroup
修改執行個體密碼
DescribeSubscriptionInstances
DescribeSubscriptionInstanceStatus
ModifySubscriptionObject
釋放訂閱通道
DescribeSubscriptionInstances
DeleteSubscriptionInstance
監控警示
DescribeSubscriptionInstances
DescribeSubscriptionInstanceAlert
ConfigureSubscriptionInstanceAlert
配置訂閱通道
DescribeSubscriptionInstances
DescribeSubscriptionInstanceStatus
ModifySubscriptionObject
查看任務日誌
DescribeSubscriptionInstances
DescribeSubscriptionInstanceStatus
資料同步
建立同步作業
CreateSynchronizationJob
展示同步作業列表
DescribeSynchronizationJobs
查看同步作業詳情
DescribeSynchronizationJobs
DescribeSynchronizationJobStatus
修改同步作業名稱
DescribeSynchronizationJobs
ModifySynchronizationObject
查看同步作業配置
DescribeSynchronizationJobs
DescribeSynchronizationJobStatus
查看同步對象
DescribeSynchronizationJobs
DescribeSynchronizationJobStatus
查看結構初始化和全量資料初始化狀態
DescribeSynchronizationJobs
DescribeSynchronizationJobStatus
查看全量或增量同步處理效能
DescribeSynchronizationJobs
DescribeSynchronizationJobStatus
查看同步對象修改記錄
DescribeSynchronizationJobs
查看任務日誌
DescribeSynchronizationJobs
DescribeSynchronizationJobStatus
配置同步作業
DescribeSynchronizationJobs
DescribeSynchronizationJobStatus
ModifySynchronizationObject
啟動同步
DescribeSynchronizationJobs
StartSynchronizationJob
暫停同步
DescribeSynchronizationJobs
SuspendSynchronizationJob
修改同步對象
DescribeSynchronizationJobs
DescribeSynchronizationJobStatus
ModifySynchronizationObject
釋放同步
DescribeSynchronizationJobs
DeleteSynchronizationJob
結束同步
DescribeSynchronizationJobs
DeleteSynchronizationJob
監控警示
DescribeSynchronizationJobs
DescribeSynchronizationJobAlert
ConfigureSynchronizationJobAlert
修改執行個體密碼
DescribeSynchronizationJobs
DescribeSynchronizationJobStatus
ModifySubscriptionObject
網路設定
查詢DTS的IP地址
DescribeDTSIP
相關操作
常見問題
Q:為什麼使用RAM使用者登入DTS控制台會提示下述錯誤,而且不展示執行個體列表資訊?
A:由於RAM使用者可能無許可權或只有部分執行個體的許可權,DTS控制台不會展示執行個體列表資訊,您需要從Resource Access Management員處擷取RAM使用者有系統管理權限的DTS執行個體ID,然後在DTS控制台中搜尋對應的執行個體ID進行管理。