描述

您通过云账号创建的ClickHouse实例,都是该账号自己拥有的资源。默认情况下,账号对自己的资源拥有完整的操作权限。

通过使用阿里云的访问控制RAM(Resource Access Management)服务,可以将您云账号下ClickHouse资源的访问及管理权限授予RAM中的子用户。为RAM用户设置权限,本质是授权RAM用户调用某些API接口的权限,例如授权RAM用户可以调用API接口“CreateDBCluster”,则用户就可以在控制台上创建实例。

目前,可以在RAM中进行授权的资源类型只有dbcluster,即最细粒度为实例级别。本文以授权RAM用户可以查看ClickHouse实例配置为例,介绍具体的操作步骤。

操作步骤

  1. 通过阿里云账号登录RAM控制台
  2. 在左侧导航栏选择权限管理 > 权限策略管理
  3. 单击创建权限策略,填写策略名称备注
  4. 配置模式选择脚本配置,可视化配置目前不支持ClickHouse,仅提供脚本配置。在下方编辑框内输入以下内容:
    {
  "Statement": [{
            "Effect": "Allow"
            "Action": "clickhouse:Describe*",
            "Resource": "acs:clickhouse:*:*:dbcluster/实例ID"
  }],
  "Version": "1"
}
    脚本中的请求参数和参数说明如下所示。
    资源类型 授权策略中的资源描述方式
    dbcluster acs:clickhouse:$regionid:$accountid:dbcluster/实例ID
    参数名称 说明
    $regionid 地域ID,可以用*代替。
    $accountid 云账号的数字ID,可以用*代替。
  5. 单击确定,创建。
  6. 在左侧导航栏选择人员管理 > 用户
    说明 如需创建RAM用户,请参见创建RAM用户
  7. 找到目标用户,单击右侧操作列的添加权限
  8. 选择权限选项下单击自定义策略,搜索刚创建的策略并单击选中,然后单击确定添加权限

至此,配置结束,您可以使用RAM账号登录控制台查看ClickHouse实例配置。您也可以根据自身业务需要,授予RAM账号相应权限。