跨阿里云账号迁移专有网络下的自建数据库时如何配置RAM授权_访问控制

通过本文介绍的方法配置RAM授权后，DTS可以在配置数据迁移时读取其他阿里云账号下的专有网络，您可以将其他阿里云账号下通过专线接入的自建数据库迁移至当前云账号下的云数据库中。

前提条件

专线所属的阿里云账号已经授权DTS的RAM角色访问其云资源，详情请参见授权DTS服务账号角色访问云资源。

背景信息

本地IDC或第三方云已通过专线/VPN网关/智能网关接入至阿里云，现在需要将本地IDC或第三方云中的自建数据库通过专有网络迁移至其他阿里云账号下的云数据库中，详细架构如下图所示。

说明在使用DTS跨阿里云账号迁移专有网络下的自建数据库之前，您需要在专线所属的阿里云账号中配置RAM授权，同时将目标实例所属的云账号设置为授信云账号，然后授权其访问专线所属的阿里云账号相关云资源。

步骤一：创建RAM角色并授予其DTS默认角色权限

使用专线所属的阿里云账号登录RAM控制台。
在左侧导航栏，单击RAM角色管理。
单击新建RAM角色，选择可信实体类型为阿里云账号，单击下一步。

在新建RAM角色对话框，配置RAM角色信息。


配置选项	配置说明
角色名称	填写RAM角色名称，本案例填写ram-for-dts。说明可填写大写字母、小写字母、数字或短横线（-），长度不超过64个字符。
备注（可选）	填写RAM角色备注信息。
选择云账号	选择为其他云账号，填写目标实例所属的云账号ID作为授信云账号。说明您需要使用目标实例所属的云账号登录账号管理页面来获取云账号ID。

单击完成。
单击精确授权。
在添加权限对话框中，选择权限类型为系统策略，然后输入策略名称：AliyunDTSRolePolicy。
单击确定。
单击关闭。

步骤二：授权RAM角色访问阿里云账号下的专有网络

使用专线所属的阿里云账号登录RAM控制台。
在左侧导航栏，单击RAM角色管理。
找到在步骤一中创建的RAM角色，单击对应的RAM角色名称。
在RAM角色的基本信息页面，单击添加权限。
在添加权限对话框中，输入策略名称AliyunVPCReadOnlyAccess进行搜索，然后单击该策略名称将其移动至已选择区域框。
单击确定。
在RAM角色的基本信息页面，单击信任策略管理页签。

单击修改信任策略，将下述代码复制至策略框中。

{
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::目标实例所属的云账号ID:root"
                ],
                "Service": [
                    "目标实例所属的云账号ID@dts.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}

说明您需要使用目标实例所属的云账号登录账号管理页面来获取云账号ID，并替换至上述代码中的目标实例所属的云账号ID。

数据迁移配置案例

从通过专线接入的自建MySQL迁移至其他云账号下的RDS MySQL