全部產品
Search
文件中心

ApsaraDB RDS:為RAM使用者授權指定RDS執行個體的唯讀許可權

更新時間:Dec 11, 2024

RAM授權支援通過多種方式(ARN授權資源群組授權標籤授權)實現精細化管理,本文以授權RAM使用者僅對指定執行個體具有隻讀許可權為例,示範不同授權方式的具體操作步驟。

前提條件

已建立RAM使用者。具體操作,請參見建立RAM使用者

操作步驟

說明

以下授權操作需要由主帳號進行操作。

方式一:基於ARN的授權

基於ARN的授權方式,是在建立權限原則時,使用資源ARN(Aliyun Resource Name)來描述被授權的一個或多個對象,實現對指定資源的精準授權。資源ARN的更多資訊,請參見權限原則基本元素

  1. 建立權限原則。

    1. 登入RAM控制台

    2. 在左側導覽列選擇許可權管理 > 權限原則

    3. 單擊建立權限原則

    4. 選擇可視化編輯指令碼編輯

      可視化編輯

      1. 效果選擇允許服務選擇雲資料庫 RDS

      2. 操作選擇讀操作中的Describe相關許可權 。您可以搜尋Describe,然後勾選所有Describe相關許可權。

      3. 資源選擇指定資源,配置的ARN選項為acs:rds:{#regionId}:{#accountId}:dbinstance/{#dbinstanceId},其中將資源配置為指定需要授權的執行個體。條件無需配置。

      4. 單擊添加語句。配置效果允許服務雲資料庫 RDS

      5. 配置操作rds:DescribeDBInstances資源選擇全部資源條件無需配置。

      指令碼編輯

      在指令碼編輯視窗中,填寫如下內容:

      {
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "rds:Describe*",
            "Resource": "acs:rds:*:*:dbinstance/執行個體ID"
          },
          {
            "Effect": "Allow",
            "Action": "rds:DescribeDBInstances",
            "Resource": "*"
          }
        ],
        "Version": "1"
      }
    5. 單擊確定,在建立權限原則彈窗,填寫策略名稱備忘,確認策略內容無誤後,再次單擊確定

  2. 為指定RAM使用者應用自訂策略。

    1. 在左側導覽列選擇身份管理 > 使用者

    2. 找到目標使用者,單擊右側操作列的添加許可權

    3. 資源範圍中配置指定資源群組為本樣本建立的資源群組,然後在權限原則地區,單擊自訂策略,搜尋已經建立的策略並勾選對應策略。

    4. 單擊確認新增許可權

  3. RAM使用者登入RDS控制台並查看執行個體。

    1. RAM使用者訪問RDS執行個體列表,在上方選擇地區即可看到執行個體列表。

    2. 單擊已授權的執行個體,可以正常查看訪問執行個體。

      說明

      該方式授權時,RAM使用者可以在執行個體列表頁面看到所有執行個體,但僅能查看指定被授權的執行個體,如果查看其他未被授權的執行個體,將提示許可權不足。

至此,配置結束,您已經為RAM使用者配置了指定RDS執行個體的唯讀許可權。您也可以根據自身業務需要,在編輯許可權時,授予RAM使用者其他許可權。

方式二:基於資源群組的授權

基於資源群組的授權方式,是將需要被授權的資源放置在同一資源群組中,然後在為RAM使用者授權時,指定被授權資源所在的資源群組,實現對指定資源群組內所有資源的精準授權。

  1. 建立資源群組。

    1. 登入資源管理主控台,在左側導覽列單擊資源群組

    2. 單擊建立資源群組,配置資源群組標識資源群組名稱後,單擊確認

  2. 將待授權執行個體轉移到建立的資源群組中。

    1. 在其他資源群組中找到待授權的目標執行個體,例如本樣本中,目標執行個體在預設資源群組中,單擊預設資源群組操作列的資源管理

    2. 通過搜尋執行個體ID尋找到目標執行個體後,選中執行個體,單擊轉移資源群組image

    3. 轉出資源視窗中,選中步驟1中建立的資源群組,然後單擊確定image

    4. 在轉出成功視窗單擊確定

      如果您在建立的資源群組中看到待授權的目標執行個體,即表示轉移資源群組成功。

  3. 建立權限原則。

    1. 登入RAM控制台

    2. 在左側導覽列選擇許可權管理 > 權限原則

    3. 單擊建立權限原則

    4. 選擇可視化編輯指令碼編輯

      可視化編輯

      1. 效果選擇允許服務選擇雲資料庫 RDS

      2. 操作選擇讀操作中的Describe相關許可權 。您可以搜尋Describe,然後勾選所有Describe相關許可權。

      3. 資源選擇全部資源條件無需配置。

      指令碼編輯

      在指令碼編輯視窗中,填寫如下內容:

      {
          "Version": "1",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "rds:Describe*"
                  ],
                  "Resource": "*"
              }
          ]
      }
    5. 單擊確定,在建立權限原則彈窗,填寫策略名稱備忘,確認策略內容無誤後,再次單擊確定

  4. 為指定RAM使用者應用自訂策略。

    1. 在左側導覽列選擇身份管理 > 使用者

    2. 找到目標使用者,單擊右側操作列的添加許可權

    3. 資源範圍中配置指定資源群組為本樣本建立的資源群組,然後在權限原則地區,單擊自訂策略,搜尋已經建立的策略並勾選對應策略。

    4. 單擊完成

  5. RAM使用者登入RDS控制台並查看執行個體。

    1. RAM使用者訪問RDS執行個體列表,在上方選擇地區。

    2. 在如下圖①處選擇步驟1建立的資源群組,即可看到目標執行個體。image

至此,配置結束,您已經為RAM使用者配置了指定RDS執行個體的唯讀許可權。您也可以根據自身業務需要,在編輯許可權時,授予RAM使用者其他許可權。

方式三:基於自訂標籤的授權

基於自訂標籤的授權方式,是為需要被授權的資源綁定同一標籤,然後在建立權限原則時,使權限原則只被應用在綁定了指定標籤的資源上,實現對綁定指定標籤的所有資源的精準授權。

  1. 為RDS執行個體綁定自訂標籤。

    1. 訪問RDS執行個體列表,在上方選擇地區,找到目標待授權執行個體。

    2. 標籤列,單擊image表徵圖,然後單擊編輯image

    3. 設定標籤鍵和標籤值後,單擊確認

      本樣本設定標籤建為test-ram,標籤值為rds-mysql,實際配置時,建議使用具有實際含義的標籤建和標籤值。

      如果您在標籤列查看到如下內容,則表示綁定自訂標籤成功。image

  2. 建立權限原則。

    1. 登入RAM控制台

    2. 在左側導覽列選擇許可權管理 > 權限原則

    3. 單擊建立權限原則

    4. 選擇可視化編輯指令碼編輯

      可視化編輯

      1. 效果選擇允許服務選擇雲資料庫 RDS

      2. 操作選擇讀操作中的Describe相關許可權 。您可以搜尋Describe,然後勾選所有Describe相關許可權。

      3. 資源選擇全部資源。單擊添加條件,設定條件鍵運算子條件值

        說明

        條件的參數配置中,條件鍵固定配置為rds:ResourceTag運算子固定配置為StringEquals條件值配置為步驟1中為RDS樣本綁定的標籤鍵標籤值

      指令碼編輯

      在指令碼編輯視窗中,填寫如下內容:

      說明

      如下指令碼中,test-ramrds-mysql僅為樣本,實際使用時,需要配置為步驟1中為RDS執行個體綁定的標籤鍵和標籤值。

      {
        "Version": "1",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": [
              "rds:Describe*"
            ],
            "Resource": [
              "*"
            ],
            "Condition": {
              "StringEquals": {
                "rds:ResourceTag/test-ram": [
                  "rds-mysql"
                ]
              }
            }
          }
        ]
      }
    5. 單擊確定,在建立權限原則彈窗,填寫策略名稱備忘,確認策略內容無誤後,再次單擊確定

  3. 為指定RAM使用者應用自訂策略。

    1. 在左側導覽列選擇身份管理 > 使用者

    2. 找到目標使用者,單擊右側操作列的添加許可權

    3. 資源範圍中配置指定資源群組為本樣本建立的資源群組,然後在權限原則地區,單擊自訂策略,搜尋已經建立的策略並勾選對應策略。

    4. 單擊完成

  4. RAM使用者登入RDS控制台並查看執行個體。

    1. RAM使用者訪問RDS執行個體列表,在上方選擇地區。

    2. 使用標籤篩選功能,篩選步驟1中為RDS執行個體綁定的標籤,即可查看到目標執行個體。image

至此,配置結束,您已經為RAM使用者配置了指定RDS執行個體的唯讀許可權。您也可以根據自身業務需要,在編輯許可權時,授予RAM使用者其他許可權。