开发者社区> 问答> 正文

如何使用阿里云访问控制(RAM)?


在0.8.43或0.9.7以后的版本的阿里云分析型数据库中,支持通过阿里云访问控制( https://ram.console.aliyun.com/ ) 创建的子账号登录分析型数据库,并管理子账号在不同条件下是否有使用分析型数据库的权限。
主账号在阿里云访问控制的控制台中,可以新建多个子账号,通过授予对应的授权策略,使子账号在一定条件下可以访问分析型数据库。子账号访问分析型数据库的MySQL协议端时需要使用其的Access Key ID/Secret作为用户名和密码。若在访问控制中允许子账号登录阿里云控制台,子账号亦可登录分析型数据库的控制台DMS。
在阿里云访问控制中,授权一个子账号可以访问分析型数据库,可以使用系统内置的授权策略 AliyunAnalyticDBFullAccess 授予子账号权限。在需要添加更多条件,或所在环境中找不到系统内置的授权策略的,可以按照如下示例的方式制定访问策略(限制访问来源IP必须是):<PRE prettyprinted? linenums>

  1. {
  2.   "Version": "1",
  3.   "Statement": [
  4.     {
  5.       "Action": "ads:*",
  6.       "Resource": "*",
  7.       "Effect": "Allow"
  8.     }
  9.   ],
  10.   "Condition":{
  11.                 "IpAddress": {
  12.                     "acs:SourceIp": ["42.120.66.0/24"]
  13.                 }
  14.             }
  15. }

此策略限制该用户只能在42.120.66.0/24网段访问分析型数据库。详细的策略编写方法详见 https://help.aliyun.com/document_detail/28663.html
注意一旦授予子账号相关访问策略,子账号将继承主账号在分析型数据库的全部权限(除ACL授权相关权限),包括主账号作为owner的数据库的权限,以及主账号被授权的其他数据库的相关被授予的权限。另外需要注意,目前暂不支持STS Token访问分析型数据库。

展开
收起
nicenelly 2017-10-26 15:39:45 6082 0
3 条回答
写回答
取消 提交回答
问答排行榜
最热
最新

相关电子书

更多
《用管控策略设定多账号组织全局访问边界》 立即下载
低代码开发师(初级)实战教程 立即下载
阿里巴巴DevOps 最佳实践手册 立即下载