如何為RAM使用者授權指定RDS執行個體的唯讀許可權 - ApsaraDB RDS

RAM授權支援通過多種方式（ARN授權、資源群組授權、標籤授權）實現精細化管理，本文以授權RAM使用者僅對指定執行個體具有隻讀許可權為例，示範不同授權方式的具體操作步驟。

前提條件

已建立RAM使用者。具體操作，請參見建立RAM使用者。

操作步驟

說明

以下授權操作需要由主帳號進行操作。

方式一：基於ARN的授權

基於ARN的授權方式，是在建立權限原則時，使用資源ARN（Aliyun Resource Name）來描述被授權的一個或多個對象，實現對指定資源的精準授權。資源ARN的更多資訊，請參見權限原則基本元素。

建立權限原則。
1. 登入RAM控制台。
2. 在左側導覽列選擇許可權管理 > 權限原則。
3. 單擊建立權限原則。
4. 選擇編輯模式。
  - 可視化編輯
    效果選擇允許。
    服務選擇關係型資料庫 / RDS。
    操作選擇讀操作中的Describe相關許可權。
    說明
    您可以搜尋Describe，然後勾選所有Describe相關許可權。
    資源選擇指定資源，配置的ARN選項為acs:rds:{#regionId}:{#accountId}:dbinstance/{#dbinstanceId}，其中將資源配置為指定需要授權的執行個體。
    條件無需配置。
    單擊添加語句。
    配置效果為允許，服務為關係型資料庫 / RDS。
    配置操作為DescribeDBInstances。
    資源選擇全部資源，條件無需配置。
  - 指令碼編輯
    在指令碼編輯視窗中，填寫如下內容：
    { "Statement": [ { "Effect": "Allow", "Action": "rds:Describe*", "Resource": "acs:rds:*:*:dbinstance/執行個體ID" }, { "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" } ], "Version": "1" }
5. 單擊繼續編輯基本資料。
6. 填寫策略名稱和備忘，確認策略內容無誤後，單擊確定。
為指定RAM使用者應用自訂策略。
1. 在左側導覽列選擇身份管理 > 使用者。
2. 找到目標使用者，單擊右側操作列的添加許可權。
3. 資源範圍中配置指定資源群組為本樣本建立的資源群組，然後在權限原則地區，單擊自訂策略，搜尋已經建立的策略並勾選對應策略。
4. 單擊完成。
RAM使用者登入RDS控制台並查看執行個體。
1. RAM使用者訪問RDS執行個體列表，在上方選擇地區即可看到執行個體列表。
2. 單擊已授權的執行個體，可以正常查看訪問執行個體。
  說明
  該方式授權時，RAM使用者可以在執行個體列表頁面看到所有執行個體，但僅能查看指定被授權的執行個體，如果查看其他未被授權的執行個體，將提示許可權不足。

至此，配置結束，您已經為RAM使用者配置了指定RDS執行個體的唯讀許可權。您也可以根據自身業務需要，在編輯許可權時，授予RAM使用者其他許可權。

方式二：基於資源群組的授權

基於資源群組的授權方式，是將需要被授權的資源放置在同一資源群組中，然後在為RAM使用者授權時，指定被授權資源所在的資源群組，實現對指定資源群組內所有資源的精準授權。

建立資源群組。
1. 登入資源管理主控台，在左側導覽列單擊資源群組。
2. 單擊建立資源群組，配置資源群組標識和資源群組名稱後，單擊確認。
將待授權執行個體轉移到建立的資源群組中。
1. 在其他資源群組中找到待授權的目標執行個體，例如本樣本中，目標執行個體在預設資源群組中，單擊預設資源群組操作列的資源管理。
2. 通過搜尋執行個體ID尋找到目標執行個體後，選中執行個體，單擊轉移資源群組。
3. 在轉出資源視窗中，選中步驟1中建立的資源群組，然後單擊確定。
4. 在轉出成功視窗單擊確定。
  如果您在建立的資源群組中看到待授權的目標執行個體，即表示轉移資源群組成功。
建立權限原則。
1. 登入RAM控制台。
2. 在左側導覽列選擇許可權管理 > 權限原則。
3. 單擊建立權限原則。
4. 選擇編輯模式。
  - 可視化編輯
    效果選擇允許。
    服務選擇關係型資料庫 / RDS。
    操作選擇讀操作中的Describe相關許可權。
    說明
    您可以搜尋Describe，然後勾選所有Describe相關許可權。
    資源選擇全部資源。
    條件無需配置。
  - 指令碼編輯
    在指令碼編輯視窗中，填寫如下內容：
    { "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "rds:Describe*" ], "Resource": "*" } ] }
5. 單擊繼續編輯基本資料。
6. 填寫策略名稱和備忘，確認策略內容無誤後，單擊確定。
為指定RAM使用者應用自訂策略。
1. 在左側導覽列選擇身份管理 > 使用者。
2. 找到目標使用者，單擊右側操作列的添加許可權。
3. 資源範圍中配置指定資源群組為本樣本建立的資源群組，然後在權限原則地區，單擊自訂策略，搜尋已經建立的策略並勾選對應策略。
4. 單擊完成。
RAM使用者登入RDS控制台並查看執行個體。
1. RAM使用者訪問RDS執行個體列表，在上方選擇地區。
2. 在如下圖①處選擇步驟1建立的資源群組，即可看到目標執行個體。

至此，配置結束，您已經為RAM使用者配置了指定RDS執行個體的唯讀許可權。您也可以根據自身業務需要，在編輯許可權時，授予RAM使用者其他許可權。

方式三：基於自訂標籤的授權

基於自訂標籤的授權方式，是為需要被授權的資源綁定同一標籤，然後在建立權限原則時，使權限原則只被應用在綁定了指定標籤的資源上，實現對綁定指定標籤的所有資源的精準授權。

為RDS執行個體綁定自訂標籤。
1. 訪問RDS執行個體列表，在上方選擇地區，找到目標待授權執行個體。
2. 在標籤列，單擊表徵圖，然後單擊編輯。
3. 設定標籤鍵和標籤值後，單擊確認。
  本樣本設定標籤建為test-ram，標籤值為rds-mysql，實際配置時，建議使用具有實際含義的標籤建和標籤值。
  如果您在標籤列查看到如下內容，則表示綁定自訂標籤成功。
建立權限原則。
1. 登入RAM控制台。
2. 在左側導覽列選擇許可權管理 > 權限原則。
3. 單擊建立權限原則。
4. 選擇編輯模式。
  - 可視化編輯
    效果選擇允許。
    服務選擇關係型資料庫 / RDS。
    操作選擇讀操作中的Describe相關許可權。
    說明
    您可以搜尋Describe，然後勾選所有Describe相關許可權。
    資源選擇全部資源。
    單擊添加條件，設定條件鍵、標籤鍵、運算子和條件值。
    說明
    條件的參數配置中，條件鍵固定配置為rds:ResourceTag，運算子固定配置為StringEquals。標籤鍵和條件值配置為步驟1中為RDS樣本綁定的標籤鍵和標籤值。
  - 指令碼編輯
    在指令碼編輯視窗中，填寫如下內容：
    說明
    如下指令碼中，test-ram和rds-mysql僅為樣本，實際使用時，需要配置為步驟1中為RDS執行個體綁定的標籤鍵和標籤值。
    { "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "rds:Describe*" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "rds:ResourceTag/test-ram": [ "rds-mysql" ] } } } ] }
5. 單擊繼續編輯基本資料。
6. 填寫策略名稱和備忘，確認策略內容無誤後，單擊確定。
為指定RAM使用者應用自訂策略。
1. 在左側導覽列選擇身份管理 > 使用者。
2. 找到目標使用者，單擊右側操作列的添加許可權。
3. 資源範圍中配置指定資源群組為本樣本建立的資源群組，然後在權限原則地區，單擊自訂策略，搜尋已經建立的策略並勾選對應策略。
4. 單擊完成。
RAM使用者登入RDS控制台並查看執行個體。
1. RAM使用者訪問RDS執行個體列表，在上方選擇地區。
2. 使用標籤篩選功能，篩選步驟1中為RDS執行個體綁定的標籤，即可查看到目標執行個體。

至此，配置結束，您已經為RAM使用者配置了指定RDS執行個體的唯讀許可權。您也可以根據自身業務需要，在編輯許可權時，授予RAM使用者其他許可權。