全部产品
分析型数据库

6.4 使用阿里云访问控制(RAM)

更新时间:2017-06-07 13:26:11   分享:   

在0.8.43或0.9.7以后的版本的阿里云分析型数据库中,支持通过阿里云访问控制( https://ram.console.aliyun.com/ ) 创建的子账号登录分析型数据库,并管理子账号在不同条件下是否有使用分析型数据库的权限。

主账号在阿里云访问控制的控制台中,可以新建多个子账号,通过授予对应的授权策略,使子账号在一定条件下可以访问分析型数据库。子账号访问分析型数据库的MySQL协议端时需要使用其的Access Key ID/Secret作为用户名和密码。若在访问控制中允许子账号登录阿里云控制台,子账号亦可登录分析型数据库的控制台DMS。

在阿里云访问控制中,授权一个子账号可以访问分析型数据库,可以使用系统内置的授权策略 AliyunAnalyticDBFullAccess 授予子账号权限。在需要添加更多条件,或所在环境中找不到系统内置的授权策略的,可以按照如下示例的方式制定访问策略(限制访问来源IP必须是):

  1. {
  2. "Version": "1",
  3. "Statement": [
  4. {
  5. "Action": "ads:*",
  6. "Resource": "*",
  7. "Effect": "Allow"
  8. }
  9. ],
  10. "Condition":{
  11. "IpAddress": {
  12. "acs:SourceIp": ["42.120.66.0/24"]
  13. }
  14. }
  15. }

此策略限制该用户只能在42.120.66.0/24网段访问分析型数据库。详细的策略编写方法详见 https://help.aliyun.com/document_detail/28663.html

注意一旦授予子账号相关访问策略,子账号将继承主账号在分析型数据库的全部权限(除ACL授权相关权限),包括主账号作为owner的数据库的权限,以及主账号被授权的其他数据库的相关被授予的权限。另外需要注意,目前暂不支持STS Token访问分析型数据库。

本文导读目录
本文导读目录
以上内容是否对您有帮助?