RAM授權支援通過多種方式(ARN授權、資源群組授權、標籤授權)實現精細化管理,本文以授權RAM使用者僅對指定執行個體具有隻讀許可權為例,示範不同授權方式的具體操作步驟。
前提條件
已建立RAM使用者。具體操作,請參見建立RAM使用者。
操作步驟
以下授權操作需要由主帳號進行操作。
方式一:基於ARN的授權
基於ARN的授權方式,是在建立權限原則時,使用資源ARN(Aliyun Resource Name)來描述被授權的一個或多個對象,實現對指定資源的精準授權。資源ARN的更多資訊,請參見權限原則基本元素。
建立權限原則。
登入RAM控制台。
在左側導覽列選擇許可權管理 > 權限原則。
單擊建立權限原則。
選擇可視化編輯或指令碼編輯。
可視化編輯
效果選擇允許,服務選擇雲資料庫 RDS。
操作選擇讀操作中的Describe相關許可權 。您可以搜尋Describe,然後勾選所有Describe相關許可權。
資源選擇指定資源,配置的ARN選項為
acs:rds:{#regionId}:{#accountId}:dbinstance/{#dbinstanceId}
,其中將資源配置為指定需要授權的執行個體。條件無需配置。單擊添加語句。配置效果為允許,服務為雲資料庫 RDS。
配置操作為rds:DescribeDBInstances。資源選擇全部資源,條件無需配置。
指令碼編輯
在指令碼編輯視窗中,填寫如下內容:
{ "Statement": [ { "Effect": "Allow", "Action": "rds:Describe*", "Resource": "acs:rds:*:*:dbinstance/執行個體ID" }, { "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" } ], "Version": "1" }
單擊確定,在建立權限原則彈窗,填寫策略名稱和備忘,確認策略內容無誤後,再次單擊確定。
為指定RAM使用者應用自訂策略。
在左側導覽列選擇身份管理 > 使用者。
找到目標使用者,單擊右側操作列的添加許可權。
資源範圍中配置指定資源群組為本樣本建立的資源群組,然後在權限原則地區,單擊自訂策略,搜尋已經建立的策略並勾選對應策略。
單擊確認新增許可權。
RAM使用者登入RDS控制台並查看執行個體。
RAM使用者訪問RDS執行個體列表,在上方選擇地區即可看到執行個體列表。
單擊已授權的執行個體,可以正常查看訪問執行個體。
說明該方式授權時,RAM使用者可以在執行個體列表頁面看到所有執行個體,但僅能查看指定被授權的執行個體,如果查看其他未被授權的執行個體,將提示許可權不足。
至此,配置結束,您已經為RAM使用者配置了指定RDS執行個體的唯讀許可權。您也可以根據自身業務需要,在編輯許可權時,授予RAM使用者其他許可權。
方式二:基於資源群組的授權
基於資源群組的授權方式,是將需要被授權的資源放置在同一資源群組中,然後在為RAM使用者授權時,指定被授權資源所在的資源群組,實現對指定資源群組內所有資源的精準授權。
建立資源群組。
登入資源管理主控台,在左側導覽列單擊資源群組。
單擊建立資源群組,配置資源群組標識和資源群組名稱後,單擊確認。
將待授權執行個體轉移到建立的資源群組中。
在其他資源群組中找到待授權的目標執行個體,例如本樣本中,目標執行個體在預設資源群組中,單擊預設資源群組操作列的資源管理。
通過搜尋執行個體ID尋找到目標執行個體後,選中執行個體,單擊轉移資源群組。
在轉出資源視窗中,選中步驟1中建立的資源群組,然後單擊確定。
在轉出成功視窗單擊確定。
如果您在建立的資源群組中看到待授權的目標執行個體,即表示轉移資源群組成功。
建立權限原則。
登入RAM控制台。
在左側導覽列選擇許可權管理 > 權限原則。
單擊建立權限原則。
選擇可視化編輯或指令碼編輯。
可視化編輯
效果選擇允許,服務選擇雲資料庫 RDS。
操作選擇讀操作中的Describe相關許可權 。您可以搜尋Describe,然後勾選所有Describe相關許可權。
資源選擇全部資源,條件無需配置。
指令碼編輯
在指令碼編輯視窗中,填寫如下內容:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "rds:Describe*" ], "Resource": "*" } ] }
單擊確定,在建立權限原則彈窗,填寫策略名稱和備忘,確認策略內容無誤後,再次單擊確定。
為指定RAM使用者應用自訂策略。
在左側導覽列選擇身份管理 > 使用者。
找到目標使用者,單擊右側操作列的添加許可權。
資源範圍中配置指定資源群組為本樣本建立的資源群組,然後在權限原則地區,單擊自訂策略,搜尋已經建立的策略並勾選對應策略。
單擊完成。
RAM使用者登入RDS控制台並查看執行個體。
RAM使用者訪問RDS執行個體列表,在上方選擇地區。
在如下圖①處選擇步驟1建立的資源群組,即可看到目標執行個體。
至此,配置結束,您已經為RAM使用者配置了指定RDS執行個體的唯讀許可權。您也可以根據自身業務需要,在編輯許可權時,授予RAM使用者其他許可權。
方式三:基於自訂標籤的授權
基於自訂標籤的授權方式,是為需要被授權的資源綁定同一標籤,然後在建立權限原則時,使權限原則只被應用在綁定了指定標籤的資源上,實現對綁定指定標籤的所有資源的精準授權。
為RDS執行個體綁定自訂標籤。
訪問RDS執行個體列表,在上方選擇地區,找到目標待授權執行個體。
在標籤列,單擊表徵圖,然後單擊編輯。
設定標籤鍵和標籤值後,單擊確認。
本樣本設定標籤建為
test-ram
,標籤值為rds-mysql
,實際配置時,建議使用具有實際含義的標籤建和標籤值。如果您在標籤列查看到如下內容,則表示綁定自訂標籤成功。
建立權限原則。
登入RAM控制台。
在左側導覽列選擇許可權管理 > 權限原則。
單擊建立權限原則。
選擇可視化編輯或指令碼編輯。
可視化編輯
效果選擇允許,服務選擇雲資料庫 RDS。
操作選擇讀操作中的Describe相關許可權 。您可以搜尋Describe,然後勾選所有Describe相關許可權。
資源選擇全部資源。單擊添加條件,設定條件鍵、運算子和條件值。
說明條件的參數配置中,條件鍵固定配置為
rds:ResourceTag
,運算子固定配置為StringEquals
。條件值配置為步驟1中為RDS樣本綁定的標籤鍵和標籤值。
指令碼編輯
在指令碼編輯視窗中,填寫如下內容:
說明如下指令碼中,
test-ram
和rds-mysql
僅為樣本,實際使用時,需要配置為步驟1中為RDS執行個體綁定的標籤鍵和標籤值。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "rds:Describe*" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "rds:ResourceTag/test-ram": [ "rds-mysql" ] } } } ] }
單擊確定,在建立權限原則彈窗,填寫策略名稱和備忘,確認策略內容無誤後,再次單擊確定。
為指定RAM使用者應用自訂策略。
在左側導覽列選擇身份管理 > 使用者。
找到目標使用者,單擊右側操作列的添加許可權。
資源範圍中配置指定資源群組為本樣本建立的資源群組,然後在權限原則地區,單擊自訂策略,搜尋已經建立的策略並勾選對應策略。
單擊完成。
RAM使用者登入RDS控制台並查看執行個體。
RAM使用者訪問RDS執行個體列表,在上方選擇地區。
使用標籤篩選功能,篩選步驟1中為RDS執行個體綁定的標籤,即可查看到目標執行個體。
至此,配置結束,您已經為RAM使用者配置了指定RDS執行個體的唯讀許可權。您也可以根據自身業務需要,在編輯許可權時,授予RAM使用者其他許可權。