授予DTS访问云资源的权限

本文为您介绍在初次使用数据传输服务DTS(Data Transmission Service)时,如何进行授权,以便DTS能够访问当前云账号下的云资源。

背景信息

为什么要授权

当您使用DTS时,需要创建名称为AliyunDTSDefaultRole的默认角色,并将系统权限策略AliyunDTSRolePolicy授权给该角色。经过授权后,DTS才可以访问当前云账号下的RDS、ECS等云资源,以便在配置DTS任务时调用相关云资源信息。否则,将会因权限问题导致报错,从而无法正常使用DTS配置任务。

若您未正确授予DTS访问云资源的权限,则DTS控制台会有如下错误提示:

  • 错误码:Abnormal.RamCheckUserRole

  • 报错信息:您尚未授权DTS系统默认角色“AliyunDTSDefaultRole”,如果您的账号有写RAM的权限可以自助前往RAM授权,否则需要您的主账号前往RAM进行角色授权后,再刷新本页面

权限策略说明

DTS服务默认角色AliyunDTSDefaultRole的系统权限策略AliyunDTSRolePolicy,包含RDS、ECS、PolarDB、MongoDB、Redis、PolarDB-X、DataHub、Elasticsearch等云资源的部分管理权限。具体权限定义,请参见AliyunDTSRolePolicy

说明

更多关于权限策略的信息,请参见权限策略语法和结构

授权操作

说明

若使用阿里云账号(主账号)登录RAM访问控制台,查看到已存在角色AliyunDTSDefaultRole,请检查授权是否正确。更多信息,请参见查看授权结果

方式一:通过RAM快捷入口授权(推荐)

使用阿里云账号(主账号)访问AliyunDTSDefaultRole快捷授权页面,在云资源访问授权对话框中,单击同意授权

说明

出现云资源访问授权成功!时,表示已完成授权。

方式二:通过提示框进行授权

  1. 使用阿里云账号(主账号),登录数据传输控制台

  2. 在弹出的错误提示对话框中,单击前往RAM授权

  3. 在弹出的云资源访问授权对话框中,单击同意授权

    说明

    出现云资源访问授权成功!时,表示已完成授权。

    授予DTS权限

方式三:在RAM访问控制进行授权

  1. 查找默认角色。

    1. 使用阿里云账号(主账号),登录RAM访问控制台

    2. 可选:在左侧导航栏,选择身份管理 > 角色

    3. 创建角色右侧的文本框,输入AliyunDTSDefaultRole并搜索。

      说明

      若不存在角色AliyunDTSDefaultRole,建议使用方式一进行授权。

  2. 在搜索结果中,单击目标RAM角色名称(AliyunDTSDefaultRole)。

  3. 为目标RAM角色精确授权。

    1. 权限管理页签,单击精确授权

      image

    2. 可选:在精确授权面板中,勾选选择权限类型系统策略

      image

    3. 输入策略名称下方的文本框,输入AliyunDTSRolePolicy

    4. 单击确定

  4. 精确授权成功后,单击关闭

查看授权结果

说明

您可以通过此步骤,查看默认角色的授权结果。

  1. 使用阿里云账号(主账号),登录RAM访问控制台

  2. 可选:在左侧导航栏,选择身份管理 > 角色

  3. 创建角色右侧的文本框,输入AliyunDTSDefaultRole并搜索。

  4. 在搜索结果中,单击目标RAM角色名称(AliyunDTSDefaultRole)。

  5. 查看角色AliyunDTSDefaultRole的详细信息。

    • 当角色AliyunDTSDefaultRole同时满足如下条件时,表示授权成功。

      • 信任策略中包含dts.aliyuncs.com

        image

      • 权限管理中包含系统策略AliyunDTSRolePolicy

        image

    • 当角色AliyunDTSDefaultRole不满足上述条件时,表示授权失败,需要重新授权。

      您可以删除角色AliyunDTSDefaultRole,重新授权。

      说明