< 文档首页
全部产品
弹性计算
存储服务
数据库
网络
视频与CDN
域名与网站
工商财税 知识产权
应用服务
互联网中间件
移动研发平台EMAS
移动研发平台EMAS-专有云
云通信
安全
大数据
人工智能
ET大脑
物联网
物联网行业方案
数字金融
管理与监控
云市场
API与工具
解决方案
钉钉
会员服务
更多

    DRDS 控制台使用 RAM

    更新时间:2019-09-24 10:17:47

    ★ 我的收藏
    本页目录

    本文介绍如何在 DRDS 中使用 RAM 的账号体系及权限策略进行资源和权限控制。

    目前,DRDS 控制台使用 RAM 有如下限制:

    • RAM 子帐户删除数据库与删除只读账户需要开启 MFA 多因素认证(具体请参见下文);
    • RAM 子帐户没有修改 DRDS 数据库密码的权限。

    DRDS 控制台使用 RAM

    在 DRDS 控制台使用 RAM 需要在 RAM 控制台进行以下操作:

    • 创建 RAM 子账户;
    • 创建授权策略;
    • 为 RAM 子账户授权。

    注意: 在 DRDS 使用 RAM 账号系统前,请确保已经激活 DRDS 对 RDS 的访问授权,创建了供 DRDS 使用的 RAM 角色(role),具体请参考使用 RAM 的准备工作文档。

    创建 RAM 子账户

    登录 RAM 控制台,根据控制台引导创建 RAM 子帐户。

    在 RAM 控制台上创建 RAM 子账户

    RAM 子帐户创建成功后,就可以为子帐户授予相应的资源权限。RAM 中的权限由策略来实现,所以需要先创建(修改)策略。

    创建策略

    在 RAM 控制台左侧菜单栏选择策略管理,单击页面右上角的新建授权策略,根据引导完成策略创建。

    创建 RAM 策略

    说明:

    • RAM 控制台提供了AliyunDRDSReadOnlyAccess(表示只读操作的权限合集)和AliyunDRDSFullAccess(表示所有操作的权限合集)两个策略,在授权时可以选择授予子帐户这两个策略。
    • 如果需要更加灵活的授权策略,也可以选择空白模板,自定义具体的 DRDS 授权策略。在 RAM 服务中,使用授权策略语言来描述一个授权策略,具体的语法请参考 Policy 语法结构。目前 DRDS 支持的授权策略参见 DRDS 支持的资源授权

    自定义策略示例

    • 赋予某个子帐户对应的主账户所拥有的 DRDS 控制台操作权限:

      1. {
      2.   "Version": "1",
      3.   "Statement": [
      4.       {
      5.           "//": "1234 是子帐号对应的主帐号的 uid",
      6.           "Action": "drds:*",
      7.           "Resource": "acs:drds:*:1234:instance/*",
      8.           "Effect": "Allow"
      9.       },
      10.       {
      11.           "//": "注意,为保证 RAM 功能的正常使用,请确保策略中存在下面这段",
      12.           "Action": "ram:PassRole",
      13.           "Resource": "*",
      14.           "Effect": "Allow"
      15.       }
      16.   ]
      17. }

    • 指定用户只可以访问杭州可用区下所有 DRDS 的权限:

      1. {
      2.   "Version": "1",
      3.   "Statement": [
      4.       {
      5.           "//": "1234 是子帐号对应的主帐号的 uid",
      6.           "Action": "drds:*",
      7.           "Resource": "acs:drds:cn-hangzhou:1234:instance/*",
      8.           "Effect": "Allow"
      9.       },
      10.       {
      11.           "//": "注意,为保证 RAM 功能的正常使用,请确保策略中存在下面这段",
      12.           "Action": "ram:PassRole",
      13.           "Resource": "*",
      14.           "Effect": "Allow"
      15.       }
      16.   ]
      17. }

    • 指定用户无法访问特定的某个实例。被授予该策略的 RAM 子帐户可以访问除drds******hb4之外的所有 DRDS 实例。:

      1. {
      2.   "Version": "1",
      3.   "Statement": [
      4.       {
      5.           "//": "1234 是子帐号对应的主帐号的 uid",
      6.           "Action": "drds:*",
      7.           "Resource": "acs:drds:*:1234:instance/*",
      8.           "Effect": "Allow"
      9.       },
      10.       {
      11.           "Action": "drds:*",
      12.           "Resource": [
      13.               "acs:drds:*:1234:instance/drds******hb4",
      14.               "acs:drds:*:1234:instance/drds******hb4/*"
      15.           ],
      16.           "Effect": "Deny"
      17.       },
      18.       {
      19.           "//": "注意,为保证 RAM 功能的正常使用,请确保策略中存在下面这段",
      20.           "Action": "ram:PassRole",
      21.           "Resource": "*",
      22.           "Effect": "Allow"
      23.       }
      24.   ]
      25. }

    为子账户授权

    创建好策略后,就可以对某个子账户进行授权,赋予该子账户特定的 DRDS 权限。

    1. 在 RAM 控制台左侧菜单栏选择用户管理
    2. 在需要操作的子账户对应一行,单击右侧的授权按钮。
    3. 选择相应的策略进行授权。

    完成以上步骤后,就可以用 RAM 子账户登录 DRDS 并进行相关操作了。

    主子账号操作区别

    在删除数据库或者数据库只读账户时,主子账户存在以下区别:

    • 使用主账户删除:需要验证主账户的手机号码,即主账户输入 DRDS 控制台发送的短信验证码以后才能删除。

    • 使用子账户删除:不需要与手机号码绑定,只需要在 RAM 控制台为子帐户开启多因素认证。

    开启多因素认证操作如下:

    1. 在 RAM 控制台左侧菜单栏选择用户管理
    2. 单击需要操作的子账户名称进入用户详情页。
    3. 多因素认证设备一栏下,单击启用虚拟 MFA 设备

    开启成功后,子账户登陆阿里云控制台都需要使用智能设备的应用“身份宝”进行认证。身份宝安装请参考身份宝

    上一篇:使用 RAM 的准备工作
    下一篇:DRDS 支持的资源授权
    相关文档
    相关产品
    • 分布式关系型数据库 DRDS
      分布式关系型数据库服务(Distributed Relational Database Service,简称 DRDS)是阿里巴巴致力于解决单机数据库服务瓶颈问题而自主研发推出的分布式数据库产品。DRDS 高度兼容 MySQL 协议和语法,支持自动化水平拆分、在线平滑扩缩容、弹性扩展、透明读写分离,具备数据库全生命周期运维管控能力。DRDS 前身为淘宝 TDDL,是近千核心应用首选组件。
    • 访问控制
      访问控制(Resource Access Management,RAM)是阿里云提供的一项管理用户身份与资源访问权限的服务。使用RAM,您可以创建、管理RAM用户(例如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源时,使用RAM可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低企业信息安全风险。
    • 云数据库 RDS
      阿里云关系型数据库(Relational Database Service,简称RDS)是一种稳定可靠、可弹性伸缩的在线数据库服务。基于阿里云分布式文件系统和SSD盘高性能存储,RDS支持MySQL、SQL Server、PostgreSQL、PPAS(Postgre Plus Advanced Server,高度兼容Oracle数据库)和MariaDB引擎,并且提供了容灾、备份、恢复、监控、迁移等方面的全套解决方案,彻底解决数据库运维的烦恼。