如何使用DTS主子账号

DTS支持RAM主子账号


数据传输服务DTS已经支持阿里云主子账号体系。用户即可以使用阿里云主账号购买并管理DTS任务，同时也可以将权限授权给子账号，让子账号有权限购买并管理DTS任务。本文简单介绍，DTS主子账号使用方式。

子账号定义


DTS目前只支持读写和只读两种访问子账号，尚不支持API粒度的访问授权。DTS支持的读写和只读策略属于RAM系统授权策略，策略分别为：

• 读写策略 读写策略名称为：AliyunDTSFullAccess， 其策略定义为：{
•   "Version": "1",
•   "Statement": [
•     {
•       "Action": "dts:*",
•       "Resource": "*",
•       "Effect": "Allow"
•     },
•     {
•       "Action": "ram:PassRole",
•       "Resource": "*",
•       "Effect": "Allow",
•       "Condition": {
•         "StringEquals": {
•           "acs:Service": "dts.aliyuncs.com"
•         }
•       }
•     }
•   ]
• }
• 
  

读写策略拥有DTS所有读写权限，一旦授权某个子账号读写策略，那么这个子账号可以进行从DTS实例的购买、配置到管理的全生命周期管理。

• 只读策略

只读策略的策略名字为：AliyunDTSReadOnlyAccess, 其策略定义为： {
  "Version": "1",
  "Statement": [
    {
      "Action": "dts:Describe*",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

读写策略拥有DTS所有读权限，一旦授权某个子账号只读策略，那么这个子账号可以查看主账号下所有DTS任务的任务详情配置等信息，但是不能进行变更操作。这里面的变更操作主要包括：购买、配置、启动、修改、启动、暂停、结束及释放。

子账号授权


为了安全起见，您可以将DTS的任务创建及管理工作授权给某个子账号进行，而不将主账号提供给公司每个同学。本小节简单介绍如何创建可使用DTS服务的子账号。
[backcolor=transparent](1) 创建子用户
如果尚未创建子账号，那么先创建一个子账号，具体创建流程参考 RAM使用手册
[backcolor=transparent](2) 用户授权
当用户创建完成后，即开始策略授权，将DTS系统策略授权给子账号。进入RAM控制台，进入用户管理界面，点击要授权子账号后面的 [backcolor=transparent]授权入口，开始角色策略授权。
在策略选择步骤中，搜索DTS相关策略。
从左侧的可选授权列表中，选择要授权的DTS系统策略,添加到已选授权策略列表中，并点击确认，完成角色授权。
[backcolor=transparent](3) 访问DTS服务
当完成角色授权后，使用RAM子账号登陆地址进行子账号登陆。RAM登陆地址可以在RAM概览页中查看。
登陆控制台后，选择 数据库类目中的数据传输，登陆到数据传输服务DTS控制台，即可开始DTS任务的创建及管理。
至此，完成DTS子账号授权及DTS控制台登陆操作。