本文介紹了通過RAM的權限管理功能,創建相應的權限策略,從而對云數據庫(RDS)進行權限管理,以滿足RAM用戶操作RDS的多種需求。
背景信息
使用RAM對RDS進行權限管理前,請先了解以下系統策略:
AliyunRDSFullAccess:管理RDS的權限。
AliyunRDSReadOnlyAccess:只讀訪問RDS的權限。
當系統策略不能滿足您的需要時,您可以創建自定義策略。
使用RAM對RDS進行權限管理前,請先了解RDS的權限定義。更多信息,請參見RAM資源授權。
操作步驟
權限策略示例
示例1:授權RAM用戶管理2臺指定的RDS實例。
假設您的賬號購買了多個實例,而作為RAM管理員,您希望僅授權其中的2個實例給某個RAM用戶。實例ID分別為rm-abcdxxxx001、rm-abcdxxxx002。
{ "Statement": [ { "Action": "rds:*", "Effect": "Allow", "Resource": [ "acs:rds:*:*:dbinstance/rm-abcdxxxx001", "acs:rds:*:*:dbinstance/rm-abcdxxxx002" ] }, { "Action": "rds:Describe*", "Effect": "Allow", "Resource": "*" } ], "Version": "1" }說明授予該權限策略的RAM用戶可以查看所有的實例及資源,但只能操作其中2個實例。
Describe*在權限策略中是必須的,否則用戶在控制臺將無法看到任何實例,使用API、CLI或SDK直接對兩個實例進行操作是可以的。
示例2:授權RAM用戶訪問DMS管理數據庫內容。
授權RAM用戶登錄指定RDS:
{ "Statement": [ { "Action": "dms:LoginDatabase", "Effect": "Allow", "Resource": "acs:rds:*:*:dbinstance/rds783a0639ks5k7****" } ], "Version": "1" }說明請將
rds783a0639ks5k7****替換為您要授權的RDS實例ID。授權RAM用戶登錄所有RDS:
{ "Statement": [ { "Action": "dms:LoginDatabase", "Effect": "Allow", "Resource": "acs:rds:*:*:*" } ], "Version": "1" }
文檔內容是否對您有幫助?