ApsaraDB RDS：RAM授權訪問RDS執行個體

操作步驟

1. 建立權限原則。

   1. 登入RAM控制台。

   2. 在左側導覽列選擇許可權管理 > 權限原則。

   3. 單擊建立權限原則。

   4. 選擇編輯模式。

      • 可視化編輯

        參數	說明
        效果	允許或者拒絕該RAM使用者進行後續設定的操作。例如允許。
        服務	選擇目標產品或服務。例如選擇關係型資料庫 / RDS。
        操作	選擇操作類型，可以選擇全部操作或指定操作。選擇指定操作時需要在全部操作中勾選允許的操作，將其加入到已選擇操作中。 例如選擇讀操作。 說明 建議勾選允許讀操作中的DescribDBInstances，否則無法查看執行個體列表。
        資源	選擇資源，可以選擇全部資源或指定資源。 選擇指定資源時需要添加具體的資源，根據資源ARN格式，單擊右側的添加來匹配指定資源，具體方法如下： 重要 為了權限原則的正常生效，控制台中對操作關聯的必要資源ARN標識了必要，強烈建議您配置該資源ARN。 例如，acs:rds:*:{#accountId}:dbinstance/*為必要配置，如果不配置此項，則RAM帳號在執行個體列表中將看不到任何執行個體。 acs:rds:{#regionId}:{#accountId}:dbinstance/{#dbinstanceId}（必要）：使用地區、帳號和執行個體ID匹配資源。 acs:rds:{#regionId}:{#accountId}:dbinstance/*：使用地區和帳號匹配資源。 acs:rds:*:{#accountId}:dbinstance/*（必要）：使用帳號匹配資源。 acs:rds:*:{#accountId}:dbinstance/{#dbinstanceId}（必要）：使用帳號和執行個體ID匹配資源。 說明 RAM授權支援通過多種方式（ARN、資源群組授權、標籤授權）實現精細化管理，例如為RAM帳號授權指定RDS執行個體的唯讀許可權，具體操作，請參見為RAM帳號授權指定RDS執行個體的唯讀許可權。
        條件	可以添加更多限制條件，例如限制訪問源IP地址。具體配置，請參見權限原則基本元素。

      • 指令碼編輯

        在下方編輯框內輸入以下內容：

        {
            "Version": "1",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": "rds:Describe*",
                    "Resource": "*"
                }
            ]
        }

        說明

        相比可視化編輯，直接用Describe*代表相關的操作更加便捷。

   5. 單擊繼續編輯基本資料。

   6. 填寫策略名稱和備忘，確認策略內容無誤後，單擊確定。

2. 為指定RAM使用者應用自訂策略。

   1. 在左側導覽列選擇身份管理 > 使用者。

   2. 找到目標使用者，單擊右側操作列的添加許可權。

   3. 在權限原則地區，單擊自訂策略，搜尋已經建立的策略並勾選對應策略。

   4. 單擊確認新增授權。

至此，配置結束，您可以使用RAM帳號登入控制台查看RDS執行個體配置。您也可以根據自身業務需要，授予RAM帳號相應許可權。

• 具體的RDS API介面說明請參見API概覽。

• 具體的權限原則基本元素說明請參見權限原則基本元素。