AI 助理
备案控制台登录注册
开发者社区 问答 正文

如何使用阿里云访问控制(RAM)?


在0.8.43或0.9.7以后的版本的阿里云分析型数据库中,支持通过阿里云访问控制( https://ram.console.aliyun.com/ )创建的子账号登录分析型数据库,并管理子账号在不同条件下是否有使用分析型数据库的权限。
主账号在阿里云访问控制的控制台中,可以新建多个子账号,通过授予对应的授权策略,使子账号在一定条件下可以访问分析型数据库。子账号访问分析型数据库的MySQL协议端时需要使用其的AccessKey ID/Secret作为用户名和密码。若在访问控制中允许子账号登录阿里云控制台,子账号亦可登录分析型数据库的控制台DMS。
在阿里云访问控制中,授权一个子账号可以访问分析型数据库,可以使用系统内置的授权策略 AliyunAnalyticDBFullAccess授予子账号权限。在需要添加更多条件,或所在环境中找不到系统内置的授权策略的,可以按照如下示例的方式制定访问策略(限制访问来源IP必须是):

  1. {
  2.   "Version": "1",
  3.   "Statement": [
  4.     {
  5.       "Action": "ads:*",
  6.       "Resource": "*",
  7.       "Effect": "Allow"
  8.     }
  9.   ],
  10.   "Condition":{
  11.                 "IpAddress": {
  12.                     "acs:SourceIp": ["42.120.66.0/24"]
  13.                 }
  14.             }
  15. }

此策略限制该用户只能在42.120.66.0/24网段访问分析型数据库。详细的策略编写方法详见 https://help.aliyun.com/document_detail/28663.html
注意一旦授予子账号相关访问策略,子账号将继承主账号在分析型数据库的全部权限(除ACL授权相关权限),包括主账号作为owner的数据库的权限,以及主账号被授权的其他数据库的相关被授予的权限。另外需要注意,目前暂不支持STSToken访问分析型数据库。

展开
收起
nicenelly 2017-10-31 13:34:38 1852 分享
分享
 版权
举报

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

阿里云 AI 助理回答

在阿里云环境中,确保子账号能够安全且有条件地访问分析型数据库(AnalyticDB),您需要遵循以下步骤和注意事项:

  1. 创建子账号

    • 登录阿里云访问控制控制台(RAM Console):https://ram.console.aliyun.com/
    • 通过“用户管理”功能创建一个新的子账号,并设置相应的基本信息。

  2. 授予访问权限

    • 使用系统内置策略:为了快速赋予子账号访问分析型数据库的全部权限,您可以选择系统预设的授权策略AliyunAnalyticDBFullAccess。这将允许子账号执行与分析型数据库相关的所有操作。
    • 自定义策略:如果需要更细粒度的控制,比如限制访问来源IP,您需要自定义策略。示例中展示的策略仅允许来自42.120.66.0/24网段的访问。请根据实际需求调整IP地址范围,并参考阿里云官方文档进行策略编写:https://help.aliyun.com/document_detail/28663.html

  3. 使用AccessKey ID/Secret登录

    • 子账号通过MySQL协议端连接分析型数据库时,需使用其自身的AccessKey ID作为用户名,Secret作为密码。
    • 如果允许子账号登录阿里云控制台,他们也可以通过DMS(Data Management Service)来访问和管理分析型数据库。

  4. 注意点

    • 权限继承:一旦子账号被授予相关权限,它将继承主账号在分析型数据库的所有权限,包括对主账号所拥有数据库的权限以及被授权给主账号的其他数据库权限。这意味着需要谨慎考虑权限分配,以避免不必要的安全风险。
    • STSToken限制:当前不支持使用STS (Security Token Service) Token直接访问分析型数据库。因此,在设计访问控制策略时,请考虑使用固定的AccessKey或通过其他方式实现临时访问控制需求。

综上所述,通过阿里云访问控制(RAM)精细管理子账号对分析型数据库的访问权限,可以有效提升系统的安全性与灵活性。务必审慎配置策略,确保符合组织的安全合规要求。

有帮助
无帮助
AI 助理回答生成答案可能存在不准确,仅供参考
0 条回答
写回答
取消 提交回答
问答分类:
关系型数据库 MySQL OLAP 数据库 数据安全/隐私保护 数据库管理 访问控制 终端访问控制系统 云数据库 RDS MySQL 版 数据管理 云原生数据仓库AnalyticDB MySQL版
问答标签:
阿里云ram 阿里云访问控制 访问控制阿里云 访问控制ram 阿里云访问控制ram
问答地址:
开发者社区 > 数据库 > 问答
相关问答
阿里云OpenAPI新建的ram账号,给了查询账户余额的权限,结果查返回值是0,怎么回事?
77
0
0
阿里云私有化部署的RAM的endpoint是什么
81
1
0
在阿里云视觉智能开放平台中,有权限但报错Unauthorized: 没有Ram权限,如何处理?
99
2
0
ram角色用户怎么登陆阿里云控制台?
122
2
0
在阿里云的访问控制策略中,Allow 和 Deny 区别是什么?
106
1
0
阿里云OpenAPI创建ram用户后直接有个Accesskey ID ,对应的密钥如何查看?
64
1
0
Nacos mse注册配置中心,使用了阿里云RAM认证,服务无损下载时,如何传值?
54
0
0
阿里云百炼的主账号/RAM子账号登录都报错。怎么回事?
127
1
0
阿里云PAM的ram新建用户授权访问堡垒机,只能打开页面,看不到服务器,是要增加什么角色或权限吗?
42
1
0
阿里云网盘与相册国际站 开发者版本配置RAM登入后显示客户端ID无效,是什么原因呢?
55
1
0
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等