访问控制 RAM(Resource Access Management)是阿里云提供的权限管理系统。RAM主要的作用是控制账号系统的权限,您可以使用RAM在主账号的权限范围内创建子账号,给不同的子账号分配不同的权限来允许或拒绝子账号对云资源的访问,从而达到授权管理的目的。

背景信息

说明
  • RAM子账号从属于阿里云主账号,并且这些子账号下不能拥有实际的任何资源,所有资源都属于阿里云主账号。
  • 通过RAM子账号创建AnalyticDB for MySQL集群后,只能通过该RAM子账号和所属阿里云主账号查看或使用集群;其他RAM子账号需要授权后才能查看或者使用该集群。

使用场景

通过阿里云主账号创建AnalyticDB for MySQL集群后,如果您的组织里有多个用户需要使用AnalyticDB for MySQL集群,这些用户只能共享使用您的云账号AccessKey。这里有两个问题:

  • 您的密钥由多人共享,泄露的风险很高。
  • 您无法控制特定用户可以对集群进行哪些操作,例如扩容集群、重启集群等。

此时,您可以创建RAM子账号,并授予子账号对应的权限。之后,让您的用户通过子账号访问或管理您的AnalyticDB for MySQL集群。

如何实现

通过RAM子账号访问或者管理AnalyticDB for MySQL集群需要以下两个步骤。

  1. 步骤一:创建RAM子账号
  2. 步骤二:为RAM子账号授权

步骤一:创建RAM子账号

  1. 登录RAM控制台
  2. 单击左侧导航栏的人员管理 > 用户
  3. 用户页面,单击新建用户,输入登录名称显示名称
    说明 单击添加用户,可一次性创建多个RAM子账号。
  4. 访问方式区域下,选择控制台密码登录编程访问
    新建用户
    • 控制台密码登录:可以完成对登录安全的基本设置,包括自动生成或自定义登录密码、是否要求下次登录时重置密码以及是否要求开启多因素认证。
    • 编程访问:自动为RAM子账号创建访问密钥(AccessKey)。RAM子账号可以通过其他开发工具访问AnalyticDB for MySQL集群。
    • 为保障账号安全,建议仅为RAM子账号选择一种登录方式。避免RAM子账号离开组织后仍可以通过访问密钥访问AnalyticDB for MySQL集群。
  5. 单击确认,创建RAM子账号。
    创建RAM子账号

步骤二:为RAM子账号授权

  1. 登录RAM控制台
  2. 单击左侧导航栏的人员管理 > 用户
  3. 用户页面,单击目标RAM子账号右侧的添加权限
    用户
  4. 添加权限页面,权限类型选择系统策略,输入策略名称找到对应的权限策略,单击将其添加到已选择框中。
    添加权限策略

    权限策略说明:

    • AliyunADBReadOnlyAccess,只读访问AnalyticDB for MySQL 3.0集群的权限。
    • AliyunADBFullAccess,管理AnalyticDB for MySQL 3.0集群的权限。
  5. 单击确认,为RAM子账号授权。

    为RAM子账号授予相应的权限后,您就可以通过RAM子账号访问或者管理AnalyticDB for MySQL集群。

更多操作

当RAM子账号不再需要某些权限或离开组织时,您可以将这些权限移除或者删除RAM子账号,请参见为RAM用户移除权限以及删除RAM用户