全部产品
云市场
云游戏

在PolarDB-X中使用RAM

更新时间:2020-06-16 21:31:57

本文介绍如何在PolarDB-X中使用RAM的账号体系及权限策略进行资源和权限控制。

使用限制

  • RAM子帐户删除数据库与删除只读账户需要开启MFA多因素认证,详情请参见为云账号设置多因素认证
  • RAM子帐户没有修改PolarDB-X数据库密码的权限。

PolarDB-X控制台使用RAM

在PolarDB-X控制台使用RAM需要在RAM控制台进行如下操作:

  1. 创建RAM子账户,详情请参见创建用户
  2. 创建授权策略,详情请参见创建自定义策略
  3. 为RAM子账户授权,详情请参见为RAM用户授权

    在PolarDB-X上使用RAM账号系统前,请确保已经激活PolarDB-X对RDS的访问授权,创建了供PolarDB-X使用的RAM角色(role),详情请参见使用RAM的准备工作

自定义策略示例

  • 赋予某个子帐户对应的主账户所拥有的 DRDS 控制台操作权限:

    1. {
    2. "Version": "1",
    3. "Statement": [
    4. {
    5. "//": "1234 是子帐号对应的主帐号的 uid",
    6. "Action": "drds:*",
    7. "Resource": "acs:drds:*:1234:instance/*",
    8. "Effect": "Allow"
    9. },
    10. {
    11. "//": "注意,为保证 RAM 功能的正常使用,请确保策略中存在下面这段",
    12. "Action": "ram:PassRole",
    13. "Resource": "*",
    14. "Effect": "Allow"
    15. }
    16. ]
    17. }
  • 指定用户只可以访问杭州可用区下所有PolarDB-X的计算资源DRDS实例的权限:

    1. {
    2. "Version": "1",
    3. "Statement": [
    4. {
    5. "//": "1234 是子帐号对应的主帐号的 uid",
    6. "Action": "drds:*",
    7. "Resource": "acs:drds:cn-hangzhou:1234:instance/*",
    8. "Effect": "Allow"
    9. },
    10. {
    11. "//": "注意,为保证 RAM 功能的正常使用,请确保策略中存在下面这段",
    12. "Action": "ram:PassRole",
    13. "Resource": "*",
    14. "Effect": "Allow"
    15. }
    16. ]
    17. }
  • 指定用户无法访问特定的某个实例。被授予该策略的RAM子帐户可以访问除drds******hb4之外的所有PolarDB-X的计算资源DRDS实例。:
    1. {
    2. "Version": "1",
    3. "Statement": [
    4. {
    5. "//": "1234 是子帐号对应的主帐号的 uid",
    6. "Action": "drds:*",
    7. "Resource": "acs:drds:*:1234:instance/*",
    8. "Effect": "Allow"
    9. },
    10. {
    11. "Action": "drds:*",
    12. "Resource": [
    13. "acs:drds:*:1234:instance/drds******hb4",
    14. "acs:drds:*:1234:instance/drds******hb4/*"
    15. ],
    16. "Effect": "Deny"
    17. },
    18. {
    19. "//": "注意,为保证 RAM 功能的正常使用,请确保策略中存在下面这段",
    20. "Action": "ram:PassRole",
    21. "Resource": "*",
    22. "Effect": "Allow"
    23. }
    24. ]
    25. }