如何通過RAM對RDS進行許可權管理 - Resource Access Management

本文介紹了通過RAM的許可權管理功能，建立相應的權限原則，從而對雲資料庫（RDS）進行許可權管理，以滿足RAM使用者操作RDS的多種需求。

背景資訊

使用RAM對RDS進行許可權管理前，請先瞭解以下系統策略：
- AliyunRDSFullAccess：管理RDS的許可權。
- AliyunRDSReadOnlyAccess：唯讀訪問RDS的許可權。
當系統策略不能滿足您的需要時，您可以建立自訂策略。
使用RAM對RDS進行許可權管理前，請先瞭解RDS的許可權定義。更多資訊，請參見RAM資源授權。

操作步驟

建立RAM使用者。
具體操作，請參見建立RAM使用者。
建立自訂策略。
更多資訊，請參見建立自訂權限原則和權限原則樣本。
為RAM使用者授權。
具體操作，請參見為RAM使用者授權。

權限原則樣本

樣本1：授權RAM使用者管理2台指定的RDS執行個體。
假設您的帳號購買了多個執行個體，而作為Resource Access Management員，您希望僅授權其中的2個執行個體給某個RAM使用者。執行個體ID分別為rm-abcdxxxx001、rm-abcdxxxx002。
```
{
  "Statement": [
    {
      "Action": "rds:*",
      "Effect": "Allow",
      "Resource": [
                  "acs:rds:*:*:dbinstance/rm-abcdxxxx001",
                  "acs:rds:*:*:dbinstance/rm-abcdxxxx002"
                  ]
    },
    {
      "Action": "rds:Describe*",
      "Effect": "Allow",
      "Resource": "*"
    }
  ],
  "Version": "1"
}
```
說明
- 授予該權限原則的RAM使用者可以查看所有的執行個體及資源，但只能操作其中2個執行個體。
- Describe*在權限原則中是必須的，否則使用者在控制台將無法看到任何執行個體，使用API、CLI或SDK直接對兩個執行個體進行操作是可以的。

樣本2：授權RAM使用者訪問DMS管理資料庫內容。

授權RAM使用者登入指定RDS：

{
  "Statement": [
    {
      "Action": "dms:LoginDatabase",
      "Effect": "Allow",
      "Resource": "acs:rds:*:*:dbinstance/rds783a0639ks5k7****"
    }
  ],
  "Version": "1"
}

說明

請將rds783a0639ks5k7****替換為您要授權的RDS執行個體ID。

授權RAM使用者登入所有RDS：

{
  "Statement": [
    {
      "Action": "dms:LoginDatabase",
      "Effect": "Allow",
      "Resource": "acs:rds:*:*:*"
    }
  ],
  "Version": "1"
}