通过数据管理DMS授权可以解决以下问题。

不共享阿里云资源账号,如何给程序员开放RDS只读权限(初级篇)

(1)通过企业的阿里云账号管理员工个人账号。

在企业阿里云账号中添加员工的账号进行管理,员工账号可以为员工个人的阿里云账号,也可以是主账号为员工开通RAM子账号。

注:添加用户的账号可理解为主账号,主账号也可被其他账号添加为子账号,因此主账号的概念是相对的。

以下2种账号(阿里云账号和RAM子账号),DMS授权都支持:

阿里云账号注册入口RAM子账号创建入口

(2)将企业数据库实例授权给程序员使用。

(3)创建RDS只读权限账号。

登录 RDS控制台,选择你的实例,进入管理页面,点击账号管理,创建账号。

(4)程序员登录新阿里云账号,进入DMS控制台,输入实例连接地址、只读数据库账号和密码。

如何授权一个子用户只能管理一个指定RDS实例(中级篇)

第1种方式(数据管理DMS-实例授权)

(1)将RDS授权给子账号用户使用。

(2)子账号用户可以登录RDS实例,进入DMS控制台,输入RDS实例连接地址、数据库用户名和密码。

第2种方式(访问控制RAM-自定义授权策略)

{
"Statement": [
    {
    "Action": "dms:LoginDatabase",
    "Effect": "Allow",
    "Resource": "acs:rds:*:*:dbinstance/$dbinstanceid"
    }
],
"Version": "1"
}

备注:$dbinstanceid RDS实例ID。

如何知道员工访问过哪些数据(高级篇)

数据管理DMS最近推出安全审计功能,主账号可以查看授权账号的数据库操作,全部操作日志一览无余。

  • 审计分析:查看TOP实例、TOP用户以及操作占比等全局信息。

  • 审计日志:查看指定账号的数据操作日志。