RAM子账号和权限

RAM（Resource Access Management）是阿里云提供的权限管理系统。RAM主要的作用是控制账号系统的权限，您可以使用RAM在主账号的权限范围内创建子账号，给不同的子账号分配不同的权限来允许或拒绝他们对云资源的访问，从而达到授权管理的目的。

说明：

• RAM子账号从属于阿里云主账号，并且这些子账号下不能拥有实际的任何资源，所有资源都属于阿里云主账号。

• 通过RAM子账号创建AnalyticDB for MySQL集群后，只能通过该RAM子账号和所属阿里云主账号查看或使用集群；其他RAM子账号需要授权后才能查看或者使用该集群，授权方法请参见本文中的授权步骤。

使用场景

通过阿里云主账号创建AnalyticDB for MySQL集群后，如果您的组织里有多个用户需要使用AnalyticDB for MySQL集群，这些用户只能共享使用您的云账号AccessKey。这里有两个问题：

• 您的密钥由多人共享，泄露的风险很高。

• 您无法控制特定用户可以对集群进行哪些操作，例如扩容集群、重启集群等。

此时，您可以创建RAM子账号，并授予子账号对应的权限。之后，让您的用户通过子账号访问或管理您的AnalyticDB for MySQL集群。

如何实现

通过RAM子账号访问或者管理AnalyticDB for MySQL集群需要以下三个步骤。

1. 创建RAM子账号

2. 新建AnalyticDB for MySQL权限策略

3. 为RAM子账号授权

实施步骤

步骤一：创建RAM子账号

1. 登录RAM控制台。

2. 单击左侧导航栏的人员管理 > 用户。

3. 在用户页面，单击新建用户，输入登录名称和显示名称。

   说明：单击添加用户，可一次性创建多个RAM子账号。

4. 在访问方式区域下，选择控制台密码登录或编程访问。

   

   • 控制台密码登录：可以完成对登录安全的基本设置，包括自动生成或自定义登录密码、是否要求下次登录时重置密码以及是否要求开启多因素认证。

   • 编程访问：自动为RAM子账号创建访问密钥（AccessKey）。RAM子账号可以通过其他开发工具访问AnalyticDB for MySQL集群。

     说明：为保障账号安全，建议仅为RAM子账号选择一种登录方式。避免RAM子账号离开组织后仍可以通过访问密钥访问AnalyticDB for MySQL集群。

5. 单击确认，创建RAM子账号。

   

步骤二：新建AnalyticDB for MySQL权限策略

目前通过阿里云主账号可以在RAM中新建以下两种类型的AnalyticDB for MySQL权限策略。

• AliyunAnalyticDBFullAccess：授予RAM子账号AliyunAnalyticDBFullAccess权限策略后，RAM子账号将继承AnalyticDB for MySQL集群中高权限账号的所有权限，即RAM子账号拥有的权限与高权限账号完全相同，请慎重使用。

• AliyunAnalyticDBReadOnlyAccess：授予RAM子账号AliyunAnalyticDBReadOnlyAccess权限策略后，RAM子账号只能只读访问AnalyticDB for MySQL集群。

1. 登录RAM控制台。

2. 单击左侧导航栏的权限策略管理 > 新建权限策略。

3. 在新建自定义权限策略页面，进行以下操作。

   • 策略名称：AliyunAnalyticDBReadOnlyAccess或者AliyunAnalyticDBFullAccess。

   • 备注：只读访问AnalyticDB for MySQL集群的权限，或者管理AnalyticDB for MySQL集群的权限。

   • 配置模式：选择脚本配置。

   • 策略内容：用以下策略替换原始策略。

   • AliyunAnalyticDBReadOnlyAccess策略对应的权限内容为：

       {
           "Version": "1",
           "Statement": [
               {
                   "Action": "adb:Describe*",
                   "Resource": "*",
                   "Effect": "Allow"
               },
               {
                   "Action": [
                       "vpc:DescribeVpcs",
                       "vpc:DescribeVSwitches"
                   ],
                   "Resource": "*",
                   "Effect": "Allow"
               }
           ]
       }

   • AliyunAnalyticDBFullAccess策略对应的权限内容为：

       {
           "Version": "1",
           "Statement": [
               {
                   "Action": "adb:*",
                   "Resource": "*",
                   "Effect": "Allow"
               },
               {
                   "Action": [
                       "vpc:DescribeVpcs",
                       "vpc:DescribeVSwitches"
                   ],
                   "Resource": "*",
                   "Effect": "Allow"
               },
               {
                   "Action": "dms:LoginDatabase",
                   "Resource": "acs:adb:*:*:*",
                   "Effect": "Allow"
               }
           ]
       }

     

4. 单击确认，新建AnalyticDB for MySQL权限策略。

步骤三：为RAM子账号授权

1. 登录RAM控制台。

2. 单击左侧导航栏的人员管理 > 用户。

3. 在用户页面，单击目标RAM子账号右侧的添加权限。

   

4. 在添加权限页面，权限类型选择自定义权限策略，输入策略名称找到对应的权限策略，单击将其添加到已选择框中。

   

5. 单击确认，为RAM子账号授权。

   为RAM子账号授予相应的权限后，您就可以通过RAM子账号访问或者管理AnalyticDB for MySQL集群。

更多信息

当RAM子账号不再需要某些权限或离开组织时，可以将这些权限移除或者删除RAM子账号，请参见为RAM用户移除权限以及删除RAM用户