RAM資源授權 - - 阿里雲

阿里雲的存取控制RAM（Resource Access Management）服務授權子使用者管理RDS執行個體。

描述

您通過雲帳號建立的RDS執行個體，都是該帳號自己擁有的資源。預設情況下，帳號對自己的資源擁有完整的操作許可權。

通過使用阿里雲的存取控制RAM（Resource Access Management）服務，您可以將您雲帳號下RDS資源的訪問及系統管理權限授予RAM中的子使用者。

目前，可以在RAM中進行授權的資源類型只有dbinstance，即最細粒度為執行個體層級。在通過RAM進行授權時，資源的描述方式如下：

請求參數

資源類型

授權策略中的資源描述方式

dbinstance

acs:rds:$regionid:$accountid:dbinstance/$dbinstanceid

acs:rds:$regionid:$accountid:dbinstance/

acs:rds:::dbinstance/

參數說明如下：

參數名稱	說明
`$regionid`	地區的ID，可以用`*`代替。
`$dbinstanceid`	執行個體的名稱，可以用`*`代替。
`$accountid`	雲帳號的數字ID，可以用`*`代替。

樣本

說明

樣本內Action內容是具體操作許可權，基於API提供的，例如CreateBackup表示建立備份，ModifyBackupPolicy表示修改備份設定。請您查看API概覽，瞭解各個API提供的功能，設定正確的操作許可權。
更詳細的使用權限設定請參見權限原則文法和結構。

授權使用者可以查看所有執行個體，但是僅能建立和管理某個執行個體的備份，到期時間為2020年8月17日。

{
    "Statement": [
        {
            "Action": [
                "rds:CreateBackup",
                "rds:ModifyBackupPolicy"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:rds:*:*:*/rm-bpxxxxxxx"
            ],
            "Condition": {
                "DateLessThan": {
                    "acs:CurrentTime": "2020-08-17T23:59:59+08:00"
                }
            }
        },
        {
            "Action": [
                "rds:Describe*"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:rds:*:*:*/*"
            ],
            "Condition": {
                "DateLessThan": {
                    "acs:CurrentTime": "2020-08-17T23:59:59+08:00"
                }
            }
        }
    ],
    "Version": "1"
}

RDS API的鑒權規則

當子使用者通過API訪問RDS時，RDS後台會向RAM進行許可權檢查，以確保調用者擁有相應許可權。每個API會根據涉及到的資源以及API的語義來確定需要檢查哪些資源的許可權。