全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 智能硬件
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 更多
分布式关系型数据库 DRDS

DRDS 控制台使用 RAM

更新时间:2017-12-11 21:28:10

本文介绍如何在 DRDS 中使用 RAM 的账号体系及权限策略进行资源和权限控制。

目前,DRDS 控制台使用 RAM 有如下限制:

  • RAM 子帐户删除数据库与删除只读账户需要开启 MFA 多因素认证(具体请参见下文);
  • RAM 子帐户没有修改 DRDS 数据库密码的权限。

DRDS 控制台使用 RAM

在 DRDS 控制台使用 RAM 需要在 RAM 控制台进行以下操作:

  • 创建 RAM 子账户;
  • 创建授权策略;
  • 为 RAM 子账户授权。

注意: 在 DRDS 使用 RAM 账号系统前,请确保已经激活 DRDS 对 RDS 的访问授权,创建了供 DRDS 使用的 RAM 角色(role),具体请参考使用 RAM 的准备工作文档。

创建 RAM 子账户

登录 RAM 控制台,根据控制台引导创建 RAM 子帐户。

在 RAM 控制台上创建 RAM 子账户

RAM 子帐户创建成功后,就可以为子帐户授予相应的资源权限。RAM 中的权限由策略来实现,所以需要先创建(修改)策略。

创建策略

在 RAM 控制台左侧菜单栏选择策略管理,单击页面右上角的新建授权策略,根据引导完成策略创建。

创建 RAM 策略

说明:

  • RAM 控制台提供了AliyunDRDSReadOnlyAccess(表示只读操作的权限合集)和AliyunDRDSFullAccess(表示所有操作的权限合集)两个策略,在授权时可以选择授予子帐户这两个策略。
  • 如果需要更加灵活的授权策略,也可以选择空白模板,自定义具体的 DRDS 授权策略。在 RAM 服务中,使用授权策略语言来描述一个授权策略,具体的语法请参考 Policy 语法结构。 目前 DRDS 支持的授权策略参见 DRDS 支持的资源授权

自定义策略示例

  • 赋予某个子帐户对应的主账户所拥有的 DRDS 控制台操作权限:

    {
      "Version": "1",
      "Statement": [
       {
           "Action": "drds:*",
           "Resource": "*",
           "Effect": "Allow"
       },
       {
           "Action": "ram:PassRole",
           "Resource": "*",
           "Effect": "Allow"
       }
      ]
    }
    
  • 指定用户只可以访问杭州可用区下所有 DRDS 的权限:

    {
    "Version": "1",
    "Statement": [
     // 1234指的是付费账户的 uid,登陆阿里云主菜单在账号管理-安全设置菜单可见
     {
         "Action": "drds:*",
         "Resource": "acs:drds:cn-hangzhou:1234:instance/*",
         "Effect": "Allow"
     },
     //注意,需要确保策略中存在下面这一段,以保证 RAM 功能的正常使用。
     {
         "Action": "ram:PassRole",
         "Resource": "*",
         "Effect": "Allow"
     }
    ]
    }
    
  • 指定用户无法访问特定的某个实例。被授予该策略的 RAM 子帐户可以访问除drds******hb4之外的所有 DRDS 实例。:

    {
    "Version": "1",
    "Statement": [
     {
         "Action": "drds:*",
         "Resource": "acs:drds:*:1234:instance/*",
         "Effect": "Allow"
     },
     {
         "Action": "drds:DescribeDrdsInstance",
         "Resource": "acs:drds:*:1234:instance/drds******hb4",
         "Effect": "Deny"
     },
     //注意,需要确保策略中存在下面这一段,以保证 RAM 功能的正常使用。
     {
         "Action": "ram:PassRole",
         "Resource": "*",
         "Effect": "Allow"
     }
    ]
    }
    

为子账户授权

创建好策略后,就可以对某个子账户进行授权,赋予该子账户特定的 DRDS 权限。

  1. 在 RAM 控制台左侧菜单栏选择用户管理
  2. 在需要操作的子账户对应一行,单击右侧的授权按钮。
  3. 选择相应的策略进行授权。

完成以上步骤后,就可以用 RAM 子账户登录 DRDS 并进行相关操作了。

主子账号操作区别

在删除数据库或者数据库只读账户时,主子账户存在以下区别:

  • 使用主账户删除:需要验证主账户的手机号码,即主账户输入 DRDS 控制台发送的短信验证码以后才能删除。

  • 使用子账户删除:不需要与手机号码绑定,只需要在 RAM 控制台为子帐户开启多因素认证。

开启多因素认证操作如下:

  1. 在 RAM 控制台左侧菜单栏选择用户管理
  2. 单击需要操作的子账户名称进入用户详情页。
  3. 多因素认证设备一栏下,单击启用虚拟 MFA 设备

开启成功后,子账户登陆阿里云控制台都需要使用智能设备的应用“身份宝”进行认证。身份宝安装请参考身份宝

本文导读目录