通過RAM權限原則限制RAM使用者權限 - ApsaraDB RDS

您可以通過為RAM使用者配置RAM權限原則，限制該使用者對RDS執行個體進行相關操作。

功能介紹

為提高RDS執行個體安全性，阿里雲提供了RAM權限原則。您可以通過配置權限原則，實現多個情境。更多資訊，請參見RDS權限原則總表。

說明

如需瞭解RAM權限原則的更多資訊，請參見權限原則概覽。

操作步驟

登入RAM控制台。
在左側導覽列，選擇許可權管理 > 權限原則。
在權限原則頁面，單擊建立權限原則。
單擊指令碼編輯頁簽，在代碼框中輸入權限原則指令碼，單擊繼續編輯基本資料。
說明
- 您可以在RDS權限原則總表的代碼列中找到對應權限原則指令碼。
- 關於權限原則文法結構的詳情，請參見權限原則文法和結構。
在基本資料地區的名稱文字框中，參考RDS權限原則總表的權限原則名稱列輸入權限原則名稱，並單擊確定。
說明
您也可以自訂權限原則的名稱。名稱格式要求如下：
- 需包含1~128個字元。
- 可包含英文字母、數字和短劃線（-）。
在跳轉的頁面中單擊新增授權，為目標RAM使用者授權。
1. 選擇授權範圍。
  - 整個雲帳號：許可權在當前阿里雲帳號內生效。
  - 指定資源群組：許可權在指定的資源群組內生效。
    說明
    指定資源群組授權生效的前提是該雲端服務已支援資源群組。更多資訊，請參見支援資源群組的雲端服務。
2. 選擇授權主體。
  說明
  授權主體即需要授權的RAM使用者，您可以在搜尋方塊中輸入RAM使用者名稱進行模糊搜尋，快速找到目標RAM使用者。
3. 在選擇許可權下方單擊自訂策略。
4. 在權限原則列表中找到步驟4中建立的權限原則名稱，單擊確定。
  說明
  您可以在權限原則列表上方的搜尋方塊中輸入權限原則的名稱進行模糊搜尋，快速找到目標權限原則。

RDS權限原則總表

限制項	權限原則名稱	代碼	說明
執行個體建立	CreateRdsWithNonDiskEncryptionForbidden	點擊展開 `{ "Statement": [ { "Action": [ "rds:CreateDBInstance", "rds:PreCheckCreateOrder", "rds:CreateOrder" ], "Effect": "Deny", "Resource": "*", "Condition": { "Bool": { "rds:DiskEncryptionRequired": "false" } } } ], "Version": "1" }`	防止目標使用者建立磁碟沒有加密的RDS執行個體。說明本功能當前僅適用於建立主執行個體，除此之外的所有情境下（例如建立唯讀執行個體、恢複資料到新執行個體），本功能不會生效。
執行個體建立	CreateRdsWithNonVPCNetworkTypeForbidden	點擊展開 `{ "Statement": [ { "Action": [ "rds:CreateDBInstance", "rds:PreCheckCreateOrder", "rds:CreateOrder" ], "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "rds:InstanceNetworkType": "VPC" } } } ], "Version": "1" }`	防止目標使用者建立網路類型為非Virtual Private Cloud的RDS執行個體。說明本功能當前僅適用於建立主執行個體，除此之外的所有情境下（例如建立唯讀執行個體、恢複資料到新執行個體），本功能不會生效。
網路設定	DatabaseConnectionNonVPCNetworkTypeForbidden	點擊展開 `{ "Statement": [ { "Action": "rds:ModifyDBInstanceNetworkType", "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "rds:InstanceNetworkType": "VPC" } } } ], "Version": "1" }`	防止目標使用者切換RDS執行個體的網路類型為傳統網路。
安全配置	DataSecuritySSLDisabledForbidden	點擊展開 `{ "Statement": [ { "Action": "rds:ModifyDBInstanceSSL", "Effect": "Deny", "Resource": "*", "Condition": { "StringEquals": { "rds:SSLEnabled": "0" } } } ], "Version": "1" }`	防止目標使用者關閉RDS執行個體的SSL加密。
安全配置	DataSecurityTDEDisabledForbidden	點擊展開 `{ "Statement": [ { "Action": "rds:ModifyDBInstanceTDE", "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "rds:TDEStatus": "Enabled" } } } ], "Version": "1" }`	防止目標使用者關閉RDS執行個體的透明資料加密TDE。
資料庫代理配置	DatabaseProxyWithNonVPCNetworkTypeForbidden	點擊展開 `{ "Statement": [ { "Action": "rds:ModifyDBProxy", "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "rds:InstanceNetworkType": "VPC" } } } ], "Version": "1" }`	防止目標使用者在開啟RDS執行個體的資料庫代理服務時，指定網路地址類型為外網。
	DatabaseProxyCreateEndpointAddressWithNonVPCNetworkTypeForbidden	點擊展開 `{ "Statement": [ { "Action": "rds:CreateDBProxyEndpointAddress", "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "rds:DBProxyConnectStringNetType": "VPC" } } } ], "Version": "1" }`	防止目標使用者在建立RDS執行個體的資料庫代理串連地址時，指定網路地址類型為外網。
	DatabaseProxyModifyEndpointAddressWithNonVPCNetworkTypeForbidden	點擊展開 `{ "Statement": [ { "Action": "rds:ModifyDBProxyEndpointAddress", "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "rds:DBProxyConnectStringNetType": "VPC" } } } ], "Version": "1" }`	防止目標使用者在修改RDS執行個體的資料庫代理串連地址時，指定網路地址類型為外網。
	DatabaseProxyDbProxyInstanceSslDisabledForbidden	點擊展開 `{ "Statement": [ { "Action": "rds:ModifyDbProxyInstanceSsl", "Effect": "Deny", "Resource": "*", "Condition": { "StringEquals": { "rds:DbProxySslEnabled": "0" } } } ], "Version": "1" }`	防止目標使用者關閉RDS執行個體的資料庫代理SSL加密功能。
備份相關配置	BackupAndRestorationCrossBackupDisabledForbidden	點擊展開 `{ "Statement": [ { "Action": "rds:ModifyInstanceCrossBackupPolicy", "Effect": "Deny", "Resource": "", "Condition": { "StringNotEquals": { "rds:BackupEnabled": "1" } } }, { "Action": "rds:ModifyInstanceCrossBackupPolicy", "Effect": "Deny", "Resource": "", "Condition": { "StringNotEquals": { "rds:LogBackupEnabled": "1" } } } ], "Version": "1" }`	防止目標使用者關閉RDS執行個體的跨地區備份功能。
備份相關配置	BackupAndRestorationBackupPolicyDisabledForbidden	點擊展開 `{ "Statement": [ { "Action": "rds:ModifyBackupPolicy", "Effect": "Deny", "Resource": "", "Condition": { "StringEquals": { "rds:EnableBackupLog": "0" } } }, { "Action": "rds:ModifyBackupPolicy", "Effect": "Deny", "Resource": "", "Condition": { "StringEquals": { "rds:BackupLog": "Disabled" } } } ], "Version": "1" }`	防止目標使用者關閉RDS執行個體的記錄備份功能。
歷史事件	EventCenterActionEventEnableEventLogForbidden	點擊展開 `{ "Statement": [ { "Action": "rds:ModifyActionEventPolicy", "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "rds:EnableEventLog": "False" } } } ], "Version": "1" }`	防止目標使用者開啟RDS執行個體的歷史事件功能。