全部产品

RAM子账号和权限

更新时间:2019-07-24 19:29:30

RAM(Resource Access Management)是阿里云提供的权限管理系统。RAM主要的作用是控制账号系统的权限,您可以使用RAM在主账号的权限范围内创建子账号,给不同的子账号分配不同的权限来允许或拒绝他们对云资源的访问,从而达到授权管理的目的。

说明:RAM子账号从属于阿里云主账号,并且这些子账号下不能拥有实际的任何资源,所有资源都属于阿里云主账号。

使用场景

通过阿里云主账号创建AnalyticDB for MySQL集群后,如果您的组织里有多个用户需要使用AnalyticDB for MySQL集群,这些用户只能共享使用您的云账号AccessKey。这里有两个问题:

  • 您的密钥由多人共享,泄露的风险很高。

  • 您无法控制特定用户可以对集群进行哪些操作,例如扩容集群、重启集群等。

此时,您可以创建RMA子账号,并授予子账号对应的权限。之后,让您的用户通过子账号访问或管理您的AnalyticDB for MySQL集群。

如何实现

通过RMA子账号访问或者管理AnalyticDB for MySQL集群需要以下三个步骤。

  1. 创建RAM子账号

  2. 新建AnalyticDB for MySQL权限策略

  3. 为RAM子账号授权

实施步骤

步骤一:创建RAM子账号

  1. 登录RAM控制台

  2. 单击左侧导航栏的人员管理 > 用户

  3. 用户页面,单击新建用户,输入登录名称显示名称

    说明:单击添加用户,可一次性创建多个RAM子账号。

  4. 访问方式区域下,选择控制台密码登录编程访问

    创建RAM子账号

    • 控制台密码登录:可以完成对登录安全的基本设置,包括自动生成或自定义登录密码、是否要求下次登录时重置密码以及是否要求开启多因素认证。

    • 编程访问:自动为RAM子账号创建访问密钥(AccessKey)。RAM子账号可以通过其他开发工具访问AnalyticDB for MySQL集群。

      说明:为保障账号安全,建议仅为RAM子账号选择一种登录方式。避免RAM子账号离开组织后仍可以通过访问密钥访问AnalyticDB for MySQL集群。

  5. 单击确认,创建RAM子账号。

    创建成功

步骤二:新建AnalyticDB for MySQL权限策略

目前通过阿里云主账号可以在RAM中新建以下两种类型的AnalyticDB for MySQL权限策略。

  • AliyunAnalyticDBFullAccess:授予RAM子账号AliyunAnalyticDBFullAccess权限策略后,RAM子账号将继承AnalyticDB for MySQL集群中高权限账号的所有权限,即RAM子账号拥有的权限与高权限账号完全相同,请慎重使用。

  • AliyunAnalyticDBReadOnlyAccess:授予RAM子账号AliyunAnalyticDBReadOnlyAccess权限策略后,RAM子账号只能只读访问AnalyticDB for MySQL集群。

  1. 登录RAM控制台

  2. 单击左侧导航栏的权限策略管理 > 新建权限策略

  3. 新建自定义权限策略页面,进行以下操作。

    • 策略名称AliyunAnalyticDBReadOnlyAccess或者AliyunAnalyticDBFullAccess

    • 备注:只读访问AnalyticDB for MySQL集群的权限,或者管理AnalyticDB for MySQL集群的权限。

    • 配置模式:选择脚本配置

    • 策略内容:用以下策略替换原始策略。

    • AliyunAnalyticDBReadOnlyAccess策略对应的权限内容为:

      1. {
      2. "Version": "1",
      3. "Statement": [
      4. {
      5. "Action": "adb:Describe*",
      6. "Resource": "*",
      7. "Effect": "Allow"
      8. },
      9. {
      10. "Action": [
      11. "vpc:DescribeVpcs",
      12. "vpc:DescribeVSwitches"
      13. ],
      14. "Resource": "*",
      15. "Effect": "Allow"
      16. }
      17. ]
      18. }
    • AliyunAnalyticDBFullAccess策略对应的权限内容为:

      1. {
      2. "Version": "1",
      3. "Statement": [
      4. {
      5. "Action": "adb:*",
      6. "Resource": "*",
      7. "Effect": "Allow"
      8. },
      9. {
      10. "Action": [
      11. "vpc:DescribeVpcs",
      12. "vpc:DescribeVSwitches"
      13. ],
      14. "Resource": "*",
      15. "Effect": "Allow"
      16. },
      17. {
      18. "Action": "dms:LoginDatabase",
      19. "Resource": "acs:adb:*:*:*",
      20. "Effect": "Allow"
      21. }
      22. ]
      23. }

      新建权限

  4. 单击确认,新建AnalyticDB for MySQL权限策略。

步骤三:为RAM子账号授权

  1. 登录RAM控制台

  2. 单击左侧导航栏的人员管理 > 用户

  3. 用户页面,单击目标RAM子账号右侧的添加权限

    添加权限

  4. 添加权限页面,权限类型选择自定义权限策略,输入策略名称找到对应的权限策略,单击将其添加到已选择框中。

    授权RAM子账号

  5. 单击确认,为RAM子账号授权。

    为RAM子账号授予相应的权限后,您就可以通过RAM子账号访问或者管理AnalyticDB for MySQL集群。

更多信息

当RAM子账号不再需要某些权限或离开组织时,可以将这些权限移除或者删除RAM子账号,请参见为RAM用户移除权限以及删除RAM用户