全部產品
Search
文件中心

ApsaraDB RDS:通過RAM權限原則限制RAM使用者權限

更新時間:Dec 12, 2024

您可以通過為RAM使用者配置RAM權限原則,限制該使用者對RDS執行個體進行相關操作。

功能介紹

為提高RDS執行個體安全性,阿里雲提供了RAM權限原則。您可以通過配置權限原則,實現多個情境。更多資訊,請參見RDS權限原則總表

說明

如需瞭解RAM權限原則的更多資訊,請參見權限原則概覽

操作步驟

  1. 登入RAM控制台

  2. 在左側導覽列,選擇許可權管理 > 權限原則

  3. 權限原則頁面,單擊建立權限原則

  4. 單擊指令碼編輯頁簽,在代碼框中輸入權限原則指令碼,單擊確定

    說明
  5. 建立權限原則彈窗,填寫策略名稱備忘,確認策略內容無誤後,再次單擊確定

    說明

    您也可以自訂權限原則的名稱。名稱格式要求如下:

    • 需包含1~128個字元。

    • 可包含英文字母、數字和短劃線(-)。

  6. 在左側導覽列,選擇許可權管理 > 授權,單擊新增授權,為目標RAM使用者授權。

    1. 選擇資源範圍

      • 帳號層級:許可權在當前阿里雲帳號內生效。

      • 資源群組層級:許可權在指定的資源群組內生效。

        說明

        指定資源群組授權生效的前提是該雲端服務已支援資源群組。更多資訊,請參見支援資源群組的雲端服務

    2. 選擇授權主體

      說明

      授權主體即需要授權的RAM使用者,您可以在搜尋方塊中輸入RAM使用者名稱進行模糊搜尋,快速找到目標RAM使用者。

    3. 權限原則下方選擇自訂策略

    4. 在權限原則列表中找到步驟4中建立的權限原則名稱,單擊確定

      說明

      您可以在權限原則列表上方的搜尋方塊中輸入權限原則的名稱進行模糊搜尋,快速找到目標權限原則。

RDS權限原則總表

限制項

權限原則名稱

代碼

說明

執行個體建立

CreateRdsWithNonDiskEncryptionForbidden

點擊展開

{ 
  "Statement": [ 
    {
      "Action": [
        "rds:CreateDBInstance", 
        "rds:PreCheckCreateOrder", 
        "rds:CreateOrder"
      ], 
      "Effect": "Deny", 
      "Resource": "*", 
      "Condition": {
        "Bool": { 
          "rds:DiskEncryptionRequired": "false" 
        } 
      } 
    } 
  ], 
  "Version": "1" 
}

防止目標使用者建立磁碟沒有加密的RDS執行個體。

說明

本功能當前僅適用於建立主執行個體,除此之外的所有情境下(例如建立唯讀執行個體、恢複資料到新執行個體),本功能不會生效。

CreateRdsWithNonVPCNetworkTypeForbidden

點擊展開

{ 
  "Statement": [
    {
      "Action": [
        "rds:CreateDBInstance",
        "rds:PreCheckCreateOrder",
        "rds:CreateOrder"
      ], 
      "Effect": "Deny", 
      "Resource": "*", 
      "Condition": { 
        "StringNotEquals": { 
          "rds:InstanceNetworkType": "VPC" 
        } 
      }
    } 
  ], 
  "Version": "1" 
}

防止目標使用者建立網路類型為非Virtual Private Cloud的RDS執行個體。

說明

本功能當前僅適用於建立主執行個體,除此之外的所有情境下(例如建立唯讀執行個體、恢複資料到新執行個體),本功能不會生效。

網路設定

DatabaseConnectionNonVPCNetworkTypeForbidden

點擊展開

{
  "Statement": [
    {
      "Action": "rds:ModifyDBInstanceNetworkType", 
      "Effect": "Deny", 
      "Resource": "*", 
      "Condition": {
        "StringNotEquals": {
          "rds:InstanceNetworkType": "VPC" 
        }
      }
    }
  ],
  "Version": "1" 
}

防止目標使用者切換RDS執行個體的網路類型為傳統網路。

安全配置

DataSecuritySSLDisabledForbidden

點擊展開

{ 
  "Statement": [
    {
      "Action": "rds:ModifyDBInstanceSSL", 
      "Effect": "Deny", 
      "Resource": "*", 
      "Condition": {
        "StringEquals": { 
          "rds:SSLEnabled": "0" 
        }
      }
    }
  ],
  "Version": "1" 
}

防止目標使用者關閉RDS執行個體的SSL加密。

DataSecurityTDEDisabledForbidden

點擊展開

{ 
  "Statement": [
    {
      "Action": "rds:ModifyDBInstanceTDE", 
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "rds:TDEStatus": "Enabled" 
        }
      }
    }
  ], 
  "Version": "1"
}

防止目標使用者關閉RDS執行個體的透明資料加密TDE。

資料庫代理配置

DatabaseProxyWithNonVPCNetworkTypeForbidden

點擊展開

{ 
  "Statement": [
    { 
      "Action": "rds:ModifyDBProxy",
      "Effect": "Deny",
      "Resource": "*",
      "Condition": { 
        "StringNotEquals": {
          "rds:InstanceNetworkType": "VPC"
        }
      }
    }
  ],
  "Version": "1" 
}

防止目標使用者在開啟RDS執行個體的資料庫代理服務時,指定網路地址類型為外網。

DatabaseProxyCreateEndpointAddressWithNonVPCNetworkTypeForbidden

點擊展開

{
  "Statement": [
    {
      "Action": "rds:CreateDBProxyEndpointAddress", 
      "Effect": "Deny",
      "Resource": "*",
      "Condition": { 
        "StringNotEquals": {
          "rds:DBProxyConnectStringNetType": "VPC"
        }
      }
    }
  ],
  "Version": "1" 
}

防止目標使用者在建立RDS執行個體的資料庫代理串連地址時,指定網路地址類型為外網。

DatabaseProxyModifyEndpointAddressWithNonVPCNetworkTypeForbidden

點擊展開

{ 
  "Statement": [
    {
      "Action": "rds:ModifyDBProxyEndpointAddress",
      "Effect": "Deny", 
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "rds:DBProxyConnectStringNetType": "VPC"
        }
      }
    }
  ],
  "Version": "1" 
}

防止目標使用者在修改RDS執行個體的資料庫代理串連地址時,指定網路地址類型為外網。

DatabaseProxyDbProxyInstanceSslDisabledForbidden

點擊展開

{ 
  "Statement": [
    {
      "Action": "rds:ModifyDbProxyInstanceSsl",
      "Effect": "Deny",
      "Resource": "*", 
      "Condition": {
        "StringEquals": {
          "rds:DbProxySslEnabled": "0" 
        }
      }
    }
  ], 
  "Version": "1" 
}

防止目標使用者關閉RDS執行個體的資料庫代理SSL加密功能。

備份相關配置

BackupAndRestorationCrossBackupDisabledForbidden

點擊展開

{ 
  "Statement": [
    {
      "Action": "rds:ModifyInstanceCrossBackupPolicy",
      "Effect": "Deny", 
      "Resource": "*",
      "Condition": { 
        "StringNotEquals": {
          "rds:BackupEnabled": "1" 
        }
      }
    },
    {
      "Action": "rds:ModifyInstanceCrossBackupPolicy",
      "Effect": "Deny", 
      "Resource": "*",
      "Condition": { 
        "StringNotEquals": {
          "rds:LogBackupEnabled": "1" 
        } 
      }
    }
  ],
  "Version": "1"
}

防止目標使用者關閉RDS執行個體的跨地區備份功能。

BackupAndRestorationBackupPolicyDisabledForbidden

點擊展開

{ 
  "Statement": [
    {
      "Action": "rds:ModifyBackupPolicy",
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "rds:EnableBackupLog": "0"
        }
      }
    },
    {
      "Action": "rds:ModifyBackupPolicy",
      "Effect": "Deny", 
      "Resource": "*",
      "Condition": { 
        "StringEquals": {
          "rds:BackupLog": "Disabled"
        }
      }
    }
  ],
  "Version": "1"
}

防止目標使用者關閉RDS執行個體的記錄備份功能。

歷史事件

EventCenterActionEventEnableEventLogForbidden

點擊展開

{ 
  "Statement": [
    { 
      "Action": "rds:ModifyActionEventPolicy",
      "Effect": "Deny",
      "Resource": "*",
      "Condition": { 
        "StringNotEquals": {
          "rds:EnableEventLog": "False"
        }
      }
    }
  ],
  "Version": "1" 
}

防止目標使用者開啟RDS執行個體的歷史事件功能。