全部产品
Search
文档中心

表格存储:通过RAM用户访问密钥发起请求

更新时间:Dec 25, 2024

访问控制RAM可以帮助您管理用户身份和资源访问权限,使用RAM用户访问表格存储资源比直接使用阿里云账号更加安全。本文介绍如何创建RAM用户和AccessKey、为RAM用户授权、配置系统环境变量,并通过示例代码演示如何使用RAM用户的AccessKey发起请求。

创建RAM用户

  1. 使用阿里云账号(主账号)或RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 用户

  3. 用户页面,单击创建用户

    image

  4. 创建用户页面的用户账号信息区域,设置用户基本信息。

    • 登录名称:可包含英文字母、数字、半角句号(.)、短划线(-)和下划线(_),最多64个字符。

    • 显示名称:最多包含128个字符或汉字。

    • 标签:单击edit,输入标签键和标签值。为RAM用户绑定标签,便于后续基于标签管理用户。

      说明

      通过单击添加用户,您可以批量创建多个RAM用户。

  5. 访问方式区域,选中使用永久AccessKey访问,单击确定

    说明

    如果需要使用RAM用户登录和访问阿里云控制台,请选中控制台访问

  6. 单击操作列的复制,保存RAM用户信息。您也可以单独复制AccessKey ID和AccessKey Secret。

    重要

    RAM用户的AccessKey Secret只在创建时显示,页面关闭后将无法查看,请及时保存并妥善保管。

为RAM用户授权

创建RAM用户后,您需要为RAM用户授予表格存储的访问权限。

使用默认策略

AliyunOTSFullAccess为例授予RAM用户访问表格存储的权限。

重要

AliyunOTSFullAccess拥有表格存储的完全访问权限,您也可以选择以下方式进行授权。

  • 如果需要只读权限,请授予RAM用户AliyunOTSReadOnlyAccess权限。

  • 如果需要只写权限,请授予RAM用户AliyunOTSWriteOnlyAccess权限。

  1. 在左侧导航栏,选择身份管理 > 用户

  2. 用户页面,找到目标RAM用户。

  3. 单击RAM用户右侧的添加权限

    image

  4. 新增授权面板的权限策略区域,搜索AliyunOTSFullAccess并选中。

  5. 单击确认新增授权

使用自定义策略

  1. 创建自定义权限策略。

    1. 在左侧导航栏,选择权限管理 > 权限策略

    2. 权限策略页面,单击创建权限策略

    3. 创建权限策略页面,单击脚本编辑,并在输入框中编写脚本,单击确定

      说明

      以下示例脚本授予RAM用户访问单个实例的权限,您可以根据需要自定义策略脚本,例如表和API级别的权限控制或基于场景(IP、访问时间限制等)的权限控制。关于RAM Policy的更多信息,请参见自定义RAM Policy

      {
        "Version": "1",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": "ots:*",
            "Resource": "acs:ots:*:*:instance/your_instance_name*"
          }
        ]
      }
    4. 创建权限策略对话框,填写策略名称,例如TestRAMPolicy,单击确定

  2. 为RAM用户授予自定义权限策略。

    1. 在左侧导航栏,选择身份管理 > 用户

    2. 用户页面,找到目标RAM用户。

    3. 单击RAM用户右侧的添加权限

    4. 新增授权面板的权限策略区域,搜索并选中已创建的自定义权限策略。

    5. 单击确认新增授权

配置环境变量

直接在代码中保存访问凭证容易导致信息泄露,建议您按以下操作将访问凭证保存在系统环境变量中。

Windows

以管理员身份运行命令提示符,执行以下命令。

setx TABLESTORE_ACCESS_KEY_ID your_access_key_id /m
setx TABLESTORE_ACCESS_KEY_SECRET your_access_key_secret /m
macOS/Linux/Unix
export TABLESTORE_ACCESS_KEY_ID=your_access_key_id
export TABLESTORE_ACCESS_KEY_SECRET=your_access_key_secret

通过RAM用户发起请求

准备工作

  1. 表格存储控制台创建实例和数据表。

  2. 获取实例名称、实例访问地址、地域ID。地域列表请参见地域

  3. 安装Tablestore SDK。具体操作,请参见安装Java SDK

示例代码

以下Java示例代码用于获取实例下的所有数据表名称。

import com.alicloud.openservices.tablestore.SyncClient;
import com.alicloud.openservices.tablestore.core.ResourceManager;
import com.alicloud.openservices.tablestore.core.auth.*;
import com.alicloud.openservices.tablestore.model.ListTableResponse;

public class Main {
    public static void main(String[] args) {
        // yourRegion 填写您的实例所在地域,如 cn-hangzhou
        final String region = "yourRegion";
        // yourInstance 填写您的实例名称
        final String instanceName = "yourInstance";
        // yourEndpoint 填写您的实例访问地址
        final String endpoint = "yourEndpoint";
        // 获取系统变量里的 AccessKey ID 和 AccessKey Secret
        final String accessKeyId = System.getenv("TABLESTORE_ACCESS_KEY_ID");
        final String accessKeySecret = System.getenv("TABLESTORE_ACCESS_KEY_SECRET");

        // 构造 V4 签名
        DefaultCredentials credentials = new DefaultCredentials(accessKeyId, accessKeySecret);
        V4Credentials credentialsV4 = V4Credentials.createByServiceCredentials(credentials, region);
        CredentialsProvider provider = new DefaultCredentialProvider(credentialsV4);

        // 初始化 Tablestore Client
        SyncClient client = new SyncClient(endpoint, provider, instanceName, null, new ResourceManager(null, null));

        // 列出实例下的数据表列表并打印到控制台
        ListTableResponse listTableResponse = client.listTable();
        listTableResponse.getTableNames().forEach(System.out::println);

        // 关闭 Tablestore Client
        client.shutdown();
    }
}

常见问题

问:如果未复制AccessKey信息就关闭了页面,或者遗失了AccessKey信息该怎么办?

您可以创建用于轮转的第二个AccessKey,验证后再删除原来的AccessKey。具体操作,请参见轮转RAM用户的AccessKey

问:如何让RAM用户能自主管理AccessKey?

您需要在RAM控制台设置页面的全局安全区域启用允许用户管理AccessKey设置,设置后RAM用户可以自行创建、禁用和删除AccessKey。具体操作,请参见管理RAM用户安全设置创建AccessKey