本文介绍如何通过访问控制RAM(Resource Access Management)服务,授权RAM用户(子账号)操作RDS实例的权限。

前提条件

创建RAM用户

背景信息

为RAM用户设置权限,本质是授权RAM用户调用某些API接口的权限,例如授权RAM用户可以调用API CreateDBInstance,则用户就可以在控制台上创建实例。

本文以授权RAM用户可以查看RDS实例配置为例,介绍具体的操作步骤。

操作步骤

  1. 登录RAM控制台
  2. 在左侧导航栏选择权限管理 > 权限策略
  3. 单击创建权限策略
  4. 填写策略名称备注
  5. 选择配置模式,不同配置模式的设置步骤如下:
    • 可视化配置

      单击添加授权语句,设置如下参数。

      设置权限
      参数 说明
      权限效力 允许或者拒绝该RAM用户进行后续设置的操作。示例为设置允许规则。
      选择产品/服务 选择目标产品或服务。示例为选择RDS
      操作名称 选择操作类型,可以选择所有操作特定操作。选择特定操作时需要在下拉框中勾选允许的操作。示例为选择所有Describe的开头操作。
      资源 选择资源,可以选择所有资源特定资源。选择特定资源时需要输入具体的资源,格式为acs:<service-name>:<region>:<account-id>:<relative-id>。示例为acs:rds:*:*:*/*,表示允许访问的资源是所有RDS实例。
      限制条件 可以添加更多限制条件,例如限制访问源IP地址。
      说明 您自定义设置时,建议操作名称需要有DescribeDBInstances,否则无法查看实例列表。
    • 脚本配置

      在下方编辑框内输入以下内容:

      {    "Version": "1",
     "Statement": [  
      {      "Effect": "Allow",
            "Action": [
                "rds:Describe*"     ],
            "Resource": [
                "acs:rds:*:*:*/*"    
                ],
            "Condition": {}    
        }    
    ]
}
      说明 相比可视化配置,直接用Describe*代表相关的操作更加便捷。
  6. 单击确定
  7. 在左侧导航栏选择身份管理 > 用户
  8. 找到目标用户,单击右侧操作列的添加权限
  9. 选择权限选项下单击自定义策略,搜索刚创建的策略并单击选中,然后单击确定
    添加权限

至此,配置结束,您可以使用RAM账号登录控制台查看RDS实例配置。您也可以根据自身业务需要,授予RAM账号相应权限。