全部產品
Search
文件中心

ApsaraDB RDS:RAM授權訪問RDS執行個體

更新時間:Dec 12, 2024

本文介紹如何通過存取控制RAM(Resource Access Management)服務,授權RAM使用者(子帳號)操作RDS執行個體的許可權。

前提條件

已建立RAM使用者。具體操作,請參見建立RAM使用者

背景資訊

為RAM使用者佈建許可權,本質是授權RAM使用者調用某些API介面的許可權,例如授權RAM使用者可以調用API CreateDBInstance,則使用者就可以在控制台上建立執行個體。

本文以授權RAM使用者可以查看RDS執行個體配置為例,介紹具體的操作步驟。

操作步驟

  1. 建立權限原則。

    1. 登入RAM控制台

    2. 在左側導覽列選擇許可權管理 > 權限原則

    3. 單擊建立權限原則

    4. 選擇可視化編輯指令碼編輯

      可視化編輯

      參數

      說明

      效果

      允許或者拒絕該RAM使用者進行後續設定的操作。例如允許

      服務

      選擇目標產品或服務。例如選擇關係型資料庫 / RDS

      操作

      選擇操作類型,可以選擇全部操作指定操作。選擇指定操作時需要在全部操作中勾選允許的操作,將其加入到已選擇操作中。

      例如選擇讀操作

      選擇操作

      說明

      建議勾選允許讀操作中的DescribeDBInstances,否則無法查看執行個體列表。

      資源

      選擇資源,可以選擇全部資源指定資源

      選擇指定資源時需要添加具體的資源,根據資源ARN格式,單擊右側的添加來匹配指定資源,具體方法如下:

      重要

      為了權限原則的正常生效,控制台中對操作關聯的必要資源ARN標識了必要,強烈建議您配置該資源ARN。

      例如,acs:rds:*:{#accountId}:dbinstance/*為必要配置,如果不配置此項,則RAM帳號在執行個體列表中將看不到任何執行個體。

      • acs:rds:{#regionId}:{#accountId}:dbinstance/{#dbinstanceId}(必要):使用地區、帳號和執行個體ID匹配資源。

      • acs:rds:{#regionId}:{#accountId}:dbinstance/*:使用地區和帳號匹配資源。

      • acs:rds:*:{#accountId}:dbinstance/*(必要):使用帳號匹配資源。

      • acs:rds:*:{#accountId}:dbinstance/{#dbinstanceId}(必要):使用帳號和執行個體ID匹配資源。

      說明

      RAM授權支援通過多種方式(ARN資源群組授權標籤授權)實現精細化管理,例如為RAM帳號授權指定RDS執行個體的唯讀許可權,具體操作,請參見為RAM帳號授權指定RDS執行個體的唯讀許可權

      條件

      可以添加更多限制條件,例如限制訪問源IP地址。具體配置,請參見權限原則基本元素

      指令碼編輯

      在下方編輯框內輸入以下內容:

      {
          "Version": "1",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": "rds:Describe*",
                  "Resource": "*"
              }
          ]
      }
      說明

      相比可視化編輯,直接用Describe*代表相關的操作更加便捷。

    5. 單擊確定,在建立權限原則彈窗,填寫策略名稱備忘,確認策略內容無誤後,再次單擊確定

  2. 為指定RAM使用者應用自訂策略。

    1. 在左側導覽列選擇身份管理 > 使用者

    2. 找到目標使用者,單擊右側操作列的添加許可權

    3. 權限原則地區,單擊自訂策略,搜尋已經建立的策略並勾選對應策略。

    4. 單擊確認新增授權

至此,配置結束,您可以使用RAM帳號登入控制台查看RDS執行個體配置。您也可以根據自身業務需要,授予RAM帳號相應許可權。