在PolarDB-X中使用RAM

本文介绍如何在PolarDB-X中使用RAM的账号体系及权限策略进行资源和权限控制。

使用限制

• RAM子帐户删除数据库与删除只读账户需要开启MFA多因素认证，详情请参见为云账号设置多因素认证。
• RAM子帐户没有修改PolarDB-X数据库密码的权限。

PolarDB-X控制台使用RAM

在PolarDB-X控制台使用RAM需要在RAM控制台进行如下操作：

1. 创建RAM子账户，详情请参见创建用户。
2. 创建授权策略，详情请参见创建自定义策略。
3. 为RAM子账户授权，详情请参见为RAM用户授权。

   在PolarDB-X上使用RAM账号系统前，请确保已经激活PolarDB-X对RDS的访问授权，创建了供PolarDB-X使用的RAM角色（role），详情请参见使用RAM的准备工作。

自定义策略示例

• 赋予某个子帐户对应的主账户所拥有的 DRDS 控制台操作权限：

  {
    "Version": "1",
    "Statement": [
        {
            "//": "1234 是子帐号对应的主帐号的 uid",
            "Action": "drds:*",
            "Resource": "acs:drds:*:1234:instance/*",
            "Effect": "Allow"
        },
        {
            "//": "注意，为保证 RAM 功能的正常使用，请确保策略中存在下面这段",
            "Action": "ram:PassRole",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
  }

• 指定用户只可以访问杭州可用区下所有PolarDB-X的计算资源DRDS实例的权限：

  {
    "Version": "1",
    "Statement": [
        {
            "//": "1234 是子帐号对应的主帐号的 uid",
            "Action": "drds:*",
            "Resource": "acs:drds:cn-hangzhou:1234:instance/*",
            "Effect": "Allow"
        },
        {
            "//": "注意，为保证 RAM 功能的正常使用，请确保策略中存在下面这段",
            "Action": "ram:PassRole",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
  }

• 指定用户无法访问特定的某个实例。被授予该策略的RAM子帐户可以访问除drds******hb4之外的所有PolarDB-X的计算资源DRDS实例。：

  {
    "Version": "1",
    "Statement": [
        {
            "//": "1234 是子帐号对应的主帐号的 uid",
            "Action": "drds:*",
            "Resource": "acs:drds:*:1234:instance/*",
            "Effect": "Allow"
        },
        {
            "Action": "drds:*",
            "Resource": [
                "acs:drds:*:1234:instance/drds******hb4",
                "acs:drds:*:1234:instance/drds******hb4/*"
            ],
            "Effect": "Deny"
        },
        {
            "//": "注意，为保证 RAM 功能的正常使用，请确保策略中存在下面这段",
            "Action": "ram:PassRole",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
  }