跨阿里云账号任务如何配置RAM授权

背景信息

在使用DTS配置跨账号任务时，需要使用数据库实例所属的阿里云账号（主账号）配置RAM授权，将创建DTS任务的阿里云账号（主账号）作为授信云账号，允许其通过数据传输服务访问数据库实例所属阿里云账号的相关云资源。

支持的源实例

• 阿里云数据库：RDS MySQL、RDS MariaDB、RDS PostgreSQL、PolarDB-X 1.0、PolarDB-X 2.0、PolarDB PostgreSQL版、PolarDB PostgreSQL版（兼容Oracle）、PolarDB MySQL版、云数据库Redis、云原生内存数据库Tair、云数据库MongoDB版。

• 自建数据库：通过专线、VPN网关、智能网关或ECS接入的自建MySQL、Mariadb、PostgreSQL、PolarDB PostgreSQL版（兼容Oracle）、Redis、MongoDB、Oracle、SQL Server、Db2 for LUW、Db2 for i数据库。

支持的目标实例

RDS MySQL和云数据库ClickHouse。

前提条件

• 源和目标库实例所属的阿里云账号已经授权DTS的RAM角色访问其云资源，详情请参见授予DTS访问云资源的权限。

• 已获取源库实例、目标库实例和创建DTS任务的阿里云账号（主账号）ID。您可以使用创建DTS任务的阿里云账号（主账号）登录账号管理页面，在基本信息页签的账号ID获取。

注意事项

• 仅RDS MySQL实例间支持跨账号的双向同步任务。

• 暂不支持不同属性账号之间（如金融云和政务云账号之间）的同步任务。

操作步骤

1. 为数据库实例创建RAM角色。

   说明

   • 若使用RAM用户（子账号）进行操作，则可能会在创建DTS任务时提示授权不正确。

   • 无需跨阿里云账号的数据库实例不需要创建RAM角色。

   1. 使用数据库实例所属的阿里云账号（主账号），登录RAM控制台。

   2. 在左侧导航栏，选择身份管理 > 角色。

      
      重要

      请勿选择为身份管理 > 用户，否则DTS将无法访问数据库实例并报错。

   3. 在角色页面，单击创建角色。

   4. 在创建角色面板，选择可信实体类型为阿里云账号，然后单击下一步。

   5. 在弹出的对话框中，配置RAM角色信息。

      配置选项	配置说明
      角色名称	填写RAM角色名称，本示例填写ram-for-dts。 说明 可以填写大写英文、小写英文、数字或短横线（-），长度不超过64个字符。
      备注（可选）	填写RAM角色备注信息。
      选择信任的云账号	选择为其他云账号，并填写创建DTS任务的阿里云账号（主账号）ID作为授信云账号。

   6. 单击完成。

2. 为创建好的RAM角色精确授权。

   1. 单击精确授权。

   2. 在添加权限对话框中，勾选选择权限类型为系统策略。

   3. 在输入策略名称下方的文本框中，输入AliyunDTSRolePolicy。

   4. 单击确定。

   5. 精确授权成功后，单击关闭。

3. 修改信任策略。

   1. 在角色页面，找到刚刚创建的RAM角色，单击对应的RAM角色名称。

   2. 在RAM角色的基本信息页面，单击信任策略管理页签。

   3. 在信任策略管理页签中，单击修改信任策略。

   4. 将下述代码复制至策略框中。

      {
          "Statement": [
              {
                  "Action": "sts:AssumeRole",
                  "Effect": "Allow",
                  "Principal": {
                      "RAM": [
                          "acs:ram::阿里云账号ID:root"
                      ],
                      "Service": [
                          "阿里云账号ID@dts.aliyuncs.com"
                      ]
                  }
              }
          ],
          "Version": "1"
      }

   5. 将代码中两个阿里云账号ID替换为创建DTS任务的阿里云账号（主账号）ID。

   6. 单击确定。

后续操作

完成RAM授权后，您可以创建跨阿里云账号的任务。具体操作，请参见同步方案概览、迁移方案概览、订阅方案概览中的相关配置文档。

常见问题

以下为配置源库信息时，出现的常见告警信息及对应解决办法：

告警信息	解决办法
	您填写的跨阿里云账号有误，请检查数据库实例所属阿里云账号（主账号）的UID是否填写正确。更多信息，请参见准备工作。
	可能原因如下： 您填写的跨阿里云账号角色名有误：请检查数据库实例所属阿里云账号（主账号）的RAM角色名称是否填写正确。 RAM角色精确授权不正确：请使用数据库实例所属的阿里云账号（主账号）进行授权操作。 说明 更多信息，请参见准备工作。
	可能原因如下： 您填写的跨阿里云账号角色名有误：请检查数据库实例所属阿里云账号（主账号）的角色名称是否填写正确。 RAM角色未完成精确授权：请检查RAM角色是否正确完成精确授权。 RAM角色未修改信任策略：请检查RAM角色是否正确修改信任策略。 说明 请参考准备工作进行检查。
	您填写的跨阿里云账号角色名没有精确授权，请为填写的RAM角色精确授权后重新创建任务。以源数据库为例，授权操作请参见为已有RAM角色精确授权。

为已有RAM角色精确授权

1. 使用源实例所属的阿里云账号（主账号），登录RAM控制台。

2. 在左侧导航栏，选择身份管理 > 角色。

3. 在创建角色右侧输入目标RAM角色并搜索。

4. 在目标行的操作列，单击精确授权。

5. 在添加权限界面输入策略名称下方，输入AliyunDTSRolePolicy。

   说明

   选择权限类型默认选择为系统策略。

6. 单击确认。