如果RAM提供的系統策略無法滿足您的業務需求,您可以通過建立自訂策略對PolarDB-X 1.0進行精微調權限管理。
前提條件
使用RAM服務前,請確保已經啟用PolarDB-X 1.0對RDS的訪問授權,詳情請參見啟用授權。
RAM子賬戶刪除資料庫與刪除唯讀賬戶前,需開啟MFA多因素認證,詳情請參見為阿里雲帳號綁定MFA裝置。
使用自訂策略對PolarDB-X 1.0進行精微調權限管理前,請先瞭解的許可權定義,詳情請參見資源授權。
使用限制
RAM子賬戶沒有修改PolarDB-X 1.0資料庫密碼的許可權。
步驟一:建立自訂權限原則
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在權限原則頁面,單擊建立權限原則。
在建立權限原則頁面,單擊指令碼編輯頁簽。
輸入權限原則內容。
關於權限原則文法結構的詳情,請參見權限原則文法和結構。
如下列出了一些常見的自訂權限原則供您參考。
說明請將下述代碼中的
1234替換成RAM子帳號所對應的主帳號的uid。請將下述代碼中
目標執行個體ID的替換為真實的PolarDB-X 1.0執行個體ID。ram:PassRole相關代碼錶示給RAM帳號添加RAM跨服務授權許可權。授權RAM使用者管理PolarDB-X 1.0必須同步進行此項授權。
允許目標RAM子賬戶操作PolarDB-X 1.0控制台。
{ "Version": "1", "Statement": [ { "Action": "drds:*", "Resource": "acs:drds:*:1234:instance/*", "Effect": "Allow" }, { "Action": "ram:PassRole", "Resource": "*", "Effect": "Allow" } ] }僅允許目標RAM子帳號訪問華東1(杭州)地區下的所有PolarDB-X 1.0執行個體。
{ "Version": "1", "Statement": [ { "Action": "drds:*", "Resource": "acs:drds:cn-hangzhou:1234:instance/*", "Effect": "Allow" }, { "Action": "ram:PassRole", "Resource": "*", "Effect": "Allow" } ] }不允許目標RAM子帳號訪問特定執行個體。
{ "Version": "1", "Statement": [ { "Action": "drds:*", "Resource": "acs:drds:*:1234:instance/*", "Effect": "Allow" }, { "Action": "drds:*", "Resource": [ "acs:drds:*:1234:instance/目標執行個體ID", ], "Effect": "Deny" }, { "Action": "ram:PassRole", "Resource": "*", "Effect": "Allow" } ] }說明被授予該策略的RAM子賬戶可以訪問主帳號下除
目標執行個體ID之外的所有PolarDB-X 1.0執行個體。
單擊繼續編輯基本資料。
單擊確定。
步驟二:為RAM使用者授權自訂策略
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在授權頁面,單擊新增授權。
在新增授權面板,為RAM使用者添加許可權。
單擊關閉。
更多為RAM使用者或使用者組授權的方式,請參見為RAM使用者授權和為RAM使用者組授權。