如果RAM提供的系统策略无法满足您的业务需求,您可以通过创建自定义策略对PolarDB-X 1.0进行精细化权限管理。
前提条件
使用RAM服务前,请确保已经激活PolarDB-X 1.0对RDS的访问授权,详情请参见激活授权。
RAM子账户删除数据库与删除只读账户前,需开启MFA多因素认证,详情请参见为阿里云账号绑定MFA设备。
使用自定义策略对PolarDB-X 1.0进行精细化权限管理前,请先了解的权限定义,详情请参见资源授权。
使用限制
RAM子账户没有修改PolarDB-X 1.0数据库密码的权限。
步骤一:创建自定义权限策略
使用阿里云账号(主账号)或具有管理权限的RAM用户登录RAM控制台。
在左侧导航栏,选择。
在权限策略页面,单击创建权限策略。
在创建权限策略页面,单击脚本编辑页签。
输入权限策略内容。
关于权限策略语法结构的详情,请参见权限策略语法和结构。
如下列出了一些常见的自定义权限策略供您参考。
说明请将下述代码中的
1234替换成RAM子账号所对应的主账号的uid。请将下述代码中
目标实例ID的替换为真实的PolarDB-X 1.0实例ID。ram:PassRole相关代码表示给RAM账号添加RAM跨服务授权权限。授权RAM用户管理PolarDB-X 1.0必须同步进行此项授权。
允许目标RAM子账户操作PolarDB-X 1.0控制台。
{ "Version": "1", "Statement": [ { "Action": "drds:*", "Resource": "acs:drds:*:1234:instance/*", "Effect": "Allow" }, { "Action": "ram:PassRole", "Resource": "*", "Effect": "Allow" } ] }仅允许目标RAM子账号访问华东1(杭州)地域下的所有PolarDB-X 1.0实例。
{ "Version": "1", "Statement": [ { "Action": "drds:*", "Resource": "acs:drds:cn-hangzhou:1234:instance/*", "Effect": "Allow" }, { "Action": "ram:PassRole", "Resource": "*", "Effect": "Allow" } ] }不允许目标RAM子账号访问特定实例。
{ "Version": "1", "Statement": [ { "Action": "drds:*", "Resource": "acs:drds:*:1234:instance/*", "Effect": "Allow" }, { "Action": "drds:*", "Resource": [ "acs:drds:*:1234:instance/目标实例ID", ], "Effect": "Deny" }, { "Action": "ram:PassRole", "Resource": "*", "Effect": "Allow" } ] }说明被授予该策略的RAM子账户可以访问主账号下除
目标实例ID之外的所有PolarDB-X 1.0实例。
单击继续编辑基本信息。
单击确定。
步骤二:为RAM用户授权自定义策略
使用阿里云账号(主账号)或具有管理权限的RAM用户登录RAM控制台。
在左侧导航栏,选择。
在授权页面,单击新增授权。
在新增授权面板,为RAM用户添加权限。
选择授权应用范围。
整个云账号:权限在当前阿里云账号内生效。
指定资源组:权限在指定的资源组内生效。
说明指定资源组授权生效的前提是该云服务已支持资源组,详情请参见支持资源组的云服务。资源组授权示例,请参见使用资源组管理指定的ECS实例。
指定授权主体。
授权主体即需要添加权限的RAM用户。
选择权限策略。
权限策略是一组访问权限的集合,包括:
系统策略:由阿里云创建,策略的版本更新由阿里云维护,用户只能使用不能修改。更多信息,请参见支持RAM的云服务。
自定义策略:由用户管理,策略的版本更新由用户维护。用户可以自主创建、更新和删除自定义策略。更多信息,请参见创建自定义权限策略。
说明每次最多绑定5条策略,如需绑定更多策略,请分多次操作。
单击确定。
单击完成。