访问控制常见问题云数据库 RDS 授权

问题

• [url=https://help.aliyun.com/knowledge_detail/58932.html?spm=5176.7758905.6.723.EJQAn1#查看 RDS 的权限定义][backcolor=transparent]在哪里可以查看 RDS 的权限定义？[/url]
• [url=https://help.aliyun.com/knowledge_detail/58932.html?spm=5176.7758905.6.723.EJQAn1#为一个子用户授予只读访问 RDS 的权限][backcolor=transparent]怎样为一个子用户授予只读访问 RDS 服务的权限？[/url]
• [url=https://help.aliyun.com/knowledge_detail/58932.html?spm=5176.7758905.6.723.EJQAn1#为一个子用户授予 RDS 服务的完全管理权限][backcolor=transparent]怎样为一个子用户授予完全管理 RDS 服务的权限？[/url]
• [url=https://help.aliyun.com/knowledge_detail/58932.html?spm=5176.7758905.6.723.EJQAn1#授权一个子用户管理两台指定的 RDS 实例][backcolor=transparent]怎样为一个子用户授权管理两台指定的 RDS 实例？[/url]
• [url=https://help.aliyun.com/knowledge_detail/58932.html?spm=5176.7758905.6.723.EJQAn1#子用户访问 DMS 管理数据库内容][backcolor=transparent]子用户如何访问 DMS 管理数据库内容？[/url]

查看 RDS 的权限定义


　　请参考 RDS OpenAPI 文档中的 授权访问鉴权规则 部分。

为一个子用户授予只读访问 RDS 的权限


　　在 RAM 控制台中创建一个子用户，并为此子用户附加系统授权策略”AliyunRDSReadOnlyAccess”。添加授权策略的方式请参考 授权。

为一个子用户授予 RDS 服务的完全管理权限


　　在 RAM 控制台中为此子用户附加系统授权策略 “AliyunRDSFullAccess”。

授权一个子用户管理两台指定的 RDS 实例


　　您需要使用自定义授权策略的功能。这里例如您的两台实例 ID 分别是 i-001 和 i-002。
　　首先您需要创建一条自定义授权策略，包含管理 i-001、i-002 的权限以及查看 RDS 所有资源的权限：

1. [backcolor=transparent]{
2. [backcolor=transparent]  [backcolor=transparent]"Statement"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent][
3. [backcolor=transparent]    [backcolor=transparent]{
4. [backcolor=transparent]      [backcolor=transparent]"Action"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"rds:*"[backcolor=transparent],
5. [backcolor=transparent]      [backcolor=transparent]"Effect"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"Allow"[backcolor=transparent],
6. [backcolor=transparent]      [backcolor=transparent]"Resource"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent][
7. [backcolor=transparent]                  [backcolor=transparent]"acs:rds:*:*:dbinstance/i-001"[backcolor=transparent],
8. [backcolor=transparent]                  [backcolor=transparent]"acs:rds:*:*:dbinstance/i-002"
9. [backcolor=transparent]                  [backcolor=transparent]]
10. [backcolor=transparent]    [backcolor=transparent]},
11. [backcolor=transparent]    [backcolor=transparent]{
12. [backcolor=transparent]      [backcolor=transparent]"Action"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"rds:Describe*"[backcolor=transparent],
13. [backcolor=transparent]      [backcolor=transparent]"Effect"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"Allow"[backcolor=transparent],
14. [backcolor=transparent]      [backcolor=transparent]"Resource"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"*"
15. [backcolor=transparent]    [backcolor=transparent]}
16. [backcolor=transparent]  [backcolor=transparent]],
17. [backcolor=transparent]  [backcolor=transparent]"Version"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"1"
18. [backcolor=transparent]}

　　然后为此用户添加此条自定义授权策略。

子用户访问 DMS 管理数据库内容


　　使用 DMS 访问 RDS 云数据库，对应的授权 Action 是 “dms:LoginDatabase”。

授权子用户登录指定 RDS


　　授权策略样例如下：

1. [backcolor=transparent]{
2. [backcolor=transparent]  [backcolor=transparent]"Statement"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent][
3. [backcolor=transparent]    [backcolor=transparent]{
4. [backcolor=transparent]      [backcolor=transparent]"Action"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"dms:LoginDatabase"[backcolor=transparent],
5. [backcolor=transparent]      [backcolor=transparent]"Effect"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"Allow"[backcolor=transparent],
6. [backcolor=transparent]      [backcolor=transparent]"Resource"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"acs:rds:*:*:dbinstance/rds783a0639ks5k7328y"
7. [backcolor=transparent]    [backcolor=transparent]}
8. [backcolor=transparent]  [backcolor=transparent]],
9. [backcolor=transparent]  [backcolor=transparent]"Version"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"1"
10. [backcolor=transparent]}

　　请将 rds783a0639ks5k7328y 替换为您要授权的 RDS 实例 ID。

授权子用户登录所有 RDS


　　授权策略样例如下：

1. [backcolor=transparent]{
2. [backcolor=transparent]  [backcolor=transparent]"Statement"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent][
3. [backcolor=transparent]    [backcolor=transparent]{
4. [backcolor=transparent]      [backcolor=transparent]"Action"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"dms:LoginDatabase"[backcolor=transparent],
5. [backcolor=transparent]      [backcolor=transparent]"Effect"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"Allow"[backcolor=transparent],
6. [backcolor=transparent]      [backcolor=transparent]"Resource"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"acs:rds:*:*:*"
7. [backcolor=transparent]    [backcolor=transparent]}
8. [backcolor=transparent]  [backcolor=transparent]],
9. [backcolor=transparent]  [backcolor=transparent]"Version"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"1"
10. [backcolor=transparent]}