PolarDB-X 1.0-用户指南-访问控制-在PolarDB-X中使用RAM

本文介绍如何在PolarDB-X中使用RAM的账号体系及权限策略进行资源和权限控制。

使用限制

• RAM子帐户删除数据库与删除只读账户需要开启MFA多因素认证，详情请参见为云账号设置多因素认证。
• RAM子帐户没有修改PolarDB-X数据库密码的权限。

PolarDB-X控制台使用RAM

在PolarDB-X控制台使用RAM需要在RAM控制台进行如下操作：

1. 创建RAM子账户，详情请参见创建用户。
2. 创建授权策略，详情请参见创建自定义策略。
3. 为RAM子账户授权，详情请参见为RAM用户授权。

在PolarDB-X上使用RAM账号系统前，请确保已经激活PolarDB-X对RDS的访问授权，创建了供PolarDB-X使用的RAM角色（role），详情请参见使用RAM的准备工作。

自定义策略示例

• 赋予某个子帐户对应的主账户所拥有的 DRDS 控制台操作权限：
  

1. {
2.  "Version":"1",
3.  "Statement":[
4.      {
5.          "//":"1234 是子帐号对应的主帐号的 uid",
6.          "Action":"drds:*",
7.          "Resource":"acs:drds:*:1234:instance/*",
8.          "Effect":"Allow"
9.      },
10.      {
11.          "//":"注意，为保证 RAM 功能的正常使用，请确保策略中存在下面这段",
12.          "Action":"ram:PassRole",
13.          "Resource":"*",
14.          "Effect":"Allow"
15.      }
16.  ]
17. }

• 指定用户只可以访问杭州可用区下所有PolarDB-X的计算资源DRDS实例的权限：
  

1. {
2.  "Version":"1",
3.  "Statement":[
4.      {
5.          "//":"1234 是子帐号对应的主帐号的 uid",
6.          "Action":"drds:*",
7.          "Resource":"acs:drds:cn-hangzhou:1234:instance/*",
8.          "Effect":"Allow"
9.      },
10.      {
11.          "//":"注意，为保证 RAM 功能的正常使用，请确保策略中存在下面这段",
12.          "Action":"ram:PassRole",
13.          "Resource":"*",
14.          "Effect":"Allow"
15.      }
16.  ]
17. }

• 指定用户无法访问特定的某个实例。被授予该策略的RAM子帐户可以访问除drds******hb4之外的所有PolarDB-X的计算资源DRDS实例。：

1. {
2.  "Version":"1",
3.  "Statement":[
4.      {
5.          "//":"1234 是子帐号对应的主帐号的 uid",
6.          "Action":"drds:*",
7.          "Resource":"acs:drds:*:1234:instance/*",
8.          "Effect":"Allow"
9.      },
10.      {
11.          "Action":"drds:*",
12.          "Resource":[
13.              "acs:drds:*:1234:instance/drds******hb4",
14.              "acs:drds:*:1234:instance/drds******hb4/*"
15.          ],
16.          "Effect":"Deny"
17.      },
18.      {
19.          "//":"注意，为保证 RAM 功能的正常使用，请确保策略中存在下面这段",
20.          "Action":"ram:PassRole",
21.          "Resource":"*",
22.          "Effect":"Allow"
23.      }
24.  ]
25. }