本文介绍如何通过访问控制RAM(Resource Access Management)服务,授权RAM用户(子账号)操作RDS实例的权限。
背景信息
为RAM用户设置权限,本质是授权RAM用户调用某些API接口的权限,例如授权RAM用户可以调用API CreateDBInstance,则用户就可以在控制台上创建实例。
本文以授权RAM用户可以查看RDS实例配置为例,介绍具体的操作步骤。
操作步骤
- 登录RAM控制台。
- 在左侧导航栏选择。
- 单击创建权限策略。
- 填写策略名称和备注。
- 选择配置模式,不同配置模式的设置步骤如下:
- 可视化配置
单击添加授权语句,设置如下参数。

参数 |
说明 |
权限效力 |
允许或者拒绝该RAM用户进行后续设置的操作。示例为设置允许规则。 |
选择产品/服务 |
选择目标产品或服务。示例为选择RDS。
|
操作名称 |
选择操作类型,可以选择所有操作或特定操作。选择特定操作时需要在下拉框中勾选允许的操作。示例为选择所有Describe 的开头操作。
|
资源 |
选择资源,可以选择所有资源或特定资源。选择特定资源时需要输入具体的资源,格式为acs:<service-name>:<region>:<account-id>:<relative-id> 。示例为acs:rds:*:*:*/* ,表示允许访问的资源是所有RDS实例。
|
限制条件 |
可以添加更多限制条件,例如限制访问源IP地址。 |
说明 您自定义设置时,建议操作名称需要有DescribeDBInstances
,否则无法查看实例列表。
- 脚本配置
在下方编辑框内输入以下内容:
{ "Version": "1",
"Statement": [
{ "Effect": "Allow",
"Action": [
"rds:Describe*" ],
"Resource": [
"acs:rds:*:*:*/*"
],
"Condition": {}
}
]
}
说明 相比可视化配置,直接用Describe*
代表相关的操作更加便捷。
- 单击确定。
- 在左侧导航栏选择。
- 找到目标用户,单击右侧操作列的添加权限。
- 在选择权限选项下单击自定义策略,搜索刚创建的策略并单击选中,然后单击确定。
至此,配置结束,您可以使用RAM账号登录控制台查看RDS实例配置。您也可以根据自身业务需要,授予RAM账号相应权限。