本文介绍如何在 DRDS 中使用 RAM 的账号体系及权限策略进行资源和权限控制。
目前,DRDS 控制台使用 RAM 有如下限制:
RAM 子帐户删除数据库与删除只读账户需要开启 MFA 多因素认证(具体请参见下文);
RAM 子帐户没有修改 DRDS 数据库密码的权限。
DRDS 控制台使用 RAM
在 DRDS 控制台使用 RAM 需要在 RAM 控制台进行以下操作:
创建 RAM 子账户;
创建授权策略;
为 RAM 子账户授权。
注意: 在 DRDS 使用 RAM 账号系统前,请确保已经激活 DRDS 对 RDS 的访问授权,创建了供 DRDS 使用的 RAM 角色(role),具体请参考使用 RAM 的准备工作文档。
创建 RAM 子账户
登录 RAM 控制台,根据控制台引导创建 RAM 子帐户。
在RAM控制台上创建RAM子账户
RAM 子帐户创建成功后,就可以为子帐户授予相应的资源权限。RAM 中的权限由策略来实现,所以需要先创建(修改)策略。
创建策略
在 RAM 控制台左侧菜单栏选择策略管理,单击页面右上角的新建授权策略,根据引导完成策略创建。
创建RAM策略
说明:
RAM 控制台提供了AliyunDRDSReadOnlyAccess(表示只读操作的权限合集)和AliyunDRDSFullAccess(表示所有操作的权限合集)两个策略,在授权时可以选择授予子帐户这两个策略。
如果需要更加灵活的授权策略,也可以选择空白模板,自定义具体的 DRDS 授权策略。在 RAM 服务中,使用授权策略语言来描述一个授权策略,具体的语法请参考 Policy 语法结构。目前 DRDS 支持的授权策略参见 DRDS 支持的资源授权。
自定义策略示例
赋予某个子帐户对应的主账户所拥有的 DRDS 控制台操作权限:
{
"Version": "1",
"Statement": [
{
"Action": "drds:*",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:PassRole",
"Resource": "*",
"Effect": "Allow"
}
]
}
指定用户只可以访问杭州可用区下所有 DRDS 的权限:
{
"Version": "1",
"Statement": [
// 1234指的是付费账户的uid,登陆阿里云主菜单在账号管理-安全设置菜单可见
{
"Action": "drds:*",
"Resource": "acs:drds:cn-hangzhou:1234:instance/*",
"Effect": "Allow"
},
//注意,需要确保策略中存在下面这一段,以保证 RAM 功能的正常使用。
{
"Action": "ram:PassRole",
"Resource": "*",
"Effect": "Allow"
}
]
}
指定用户无法访问特定的某个实例。被授予该策略的 RAM 子帐户可以访问除drds******hb4之外的所有 DRDS 实例。:
{
"Version": "1",
"Statement": [
{
"Action": "drds:*",
"Resource": "acs:drds:*:1234:instance/*",
"Effect": "Allow"
},
{
"Action": "drds:DescribeDrdsInstance",
"Resource": "acs:drds:*:1234:instance/drds******hb4",
"Effect": "Deny"
},
//注意,需要确保策略中存在下面这一段,以保证 RAM 功能的正常使用。
{
"Action": "ram:PassRole",
"Resource": "*",
"Effect": "Allow"
}
]
}
为子账户授权
创建好策略后,就可以对某个子账户进行授权,赋予该子账户特定的 DRDS 权限。
在 RAM 控制台左侧菜单栏选择用户管理。
在需要操作的子账户对应一行,单击右侧的授权按钮。
选择相应的策略进行授权。
完成以上步骤后,就可以用 RAM 子账户登录 DRDS 并进行相关操作了。
主子账号操作区别
在删除数据库或者数据库只读账户时,主子账户存在以下区别:
使用主账户删除:需要验证主账户的手机号码,即主账户输入 DRDS 控制台发送的短信验证码以后才能删除。
使用子账户删除:不需要与手机号码绑定,只需要在 RAM 控制台为子帐户开启多因素认证。
开启多因素认证操作如下:
在 RAM 控制台左侧菜单栏选择用户管理。
单击需要操作的子账户名称进入用户详情页。
在多因素认证设备一栏下,单击启用虚拟 MFA 设备。
开启成功后,子账户登陆阿里云控制台都需要使用智能设备的应用“身份宝”进行认证。身份宝安装请参考身份宝。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。