本文介绍了如何利用标签对RDS实例进行分组并授权,以满足RAM用户只能查看和操作被授权资源的需求。

前提条件

请确保您已经注册了阿里云账号。如还未注册,请先完成账号注册。详情请参见账号注册

背景信息

假设您的账号购买了10个RDS实例,其中5个想要授权给dev团队,另外5个授权给ops团队。企业希望每个团队只能查看被授权的实例,未被授权的不允许查看。

利用标签对RDS分组授权的操作步骤

具体操作步骤请参见利用标签对ECS实例进行分组授权

RDS相关自定义策略:

{
  "Statement": [
    {
      "Action": "rds:*",
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "rds:ResourceTag/team": "dev"
         }
       }
     },
    {
       "Action": "rds:DescribeTag*",
       "Effect": "Allow",
       "Resource": "*"
     }
  ],
  "Version": "1"
}

权限策略内容分为两部分:

  • 其中带有Condition"Action": "rds:*"部分用于过滤标签为"team": "dev"的资源。Condition部分的关键字为rds:ResourceTag
  • "Action": "rds:DescribeTag*"用于展示所有标签。当RAM用户在操作RDS控制台时,系统展示出所有标签供RAM用户选择,只有当RAM用户选择了标签值后,系统才能根据选中的标签值过滤相应资源。

更多信息

利用标签对RDS实例分组授权后,如果遇到RAM用户登录控制台报无权限的问题,请参见利用标签对RDS实例分组授权的常见问题