為了細分帳號許可權,提升帳號安全性,您可以通過存取控制RAM(Resource Access Management)將DTS的系統管理權限授權給子帳號,然後使用子帳號訪問DTS。
前提條件
已授予子帳號訪問雲資源的許可權,允許其訪問當前雲帳號下的RDS、ECS等雲資源,則子帳號配置DTS的任務時,DTS可調用相關雲資源資訊。詳情請參見授予DTS訪問雲資源的許可權。
注意事項
子帳號暫不支援配置目標庫為MaxCompute的資料同步作業,需要使用主帳號完成配置。
使用子帳號配置DTS的任務時,如果資料庫是資料庫網關DG或雲企業網CEN接入的,您還需要為子帳號授予AliyunDGFullAccess(管理資料庫網關DG的許可權)或AliyunCENFullAccess(管理雲企業網CEN的許可權)許可權。
策略說明
DTS支援的授權策略為讀寫策略和唯讀策略。
授權策略暫不支援API粒度的訪問授權。
讀寫策略:AliyunDTSFullAccess。
該策略擁有DTS所有讀寫權限,授權了該策略的子帳號可以進行DTS執行個體的購買、配置、管理等操作。
唯讀策略:AliyunDTSReadOnlyAccess。
該策略擁有DTS所有讀許可權,授權了該許可權的子帳號可以查看主帳號下所有DTS任務的任務詳情、任務配置等資訊,不能進行變更操作。
說明變更操作主要包括:DTS執行個體的購買、配置、管理等操作。
操作步驟
使用阿里雲帳號登入RAM控制台。
可選:建立RAM使用者。
更多資訊,請參見建立RAM使用者。
在左側導覽列,選擇
。在使用者頁面,單擊目標RAM使用者操作列的添加許可權。
在新增授權面板,為RAM使用者添加許可權。
選擇資源範圍。
帳號層級:許可權在當前阿里雲帳號內生效。
資源群組層級:許可權在指定的資源群組內生效。
重要指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組,詳情請參見支援資源群組的雲端服務。資源群組授權樣本,請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
在搜尋方塊中輸入dts,展現DTS相關的系統權限原則。
根據業務需求單擊目標權限原則名稱,將其添加到已選擇權限原則地區框中。
說明關於策略的詳細說明,請參見策略說明。
單擊確定。
授權成功後,單擊完成。