通过本文介绍的方法配置RAM授权后,DTS可以在配置数据迁移或同步时读取其他阿里云账号下的专有网络,您可以将其他阿里云账号下通过专线接入的自建数据库迁移或同步至当前云账号下的云数据库中。
前提条件
专线所属的阿里云账号已经授权DTS的RAM角色访问其云资源,详情请参见授予DTS访问云资源的权限。
已获取源库实例、目标库实例和创建DTS任务的阿里云账号(主账号)ID。您可以使用对应的阿里云账号(主账号)登录概览页面,在页面右侧获取账号ID。
背景信息
本地IDC或第三方云已通过专线、VPN网关或智能接入网关接入至阿里云,现在需要将本地IDC或第三方云中的自建数据库通过专有网络传输至其他阿里云账号下的云数据库中。
在使用DTS跨阿里云账号传输专有网络下的自建数据库之前,您需要在专线所属的阿里云账号中配置RAM授权,同时将目标实例所属的云账号(主账号)设置为授信云账号,然后授权其访问专线所属的阿里云账号相关云资源。
注意事项
专有网络下的自建数据库作为源库时支持跨阿里云账号,作为目标库时不支持。
步骤一:创建RAM角色并授予其DTS默认角色权限
使用专线所属的阿里云账号(主账号)登录RAM控制台。
在左侧导航栏,选择。
重要请勿选择为,否则DTS将无法访问数据库实例并报错。
在角色页面,单击创建角色。
在创建角色面板,选择可信实体类型为阿里云账号,然后单击下一步。
在弹出的对话框中,配置RAM角色信息。
配置选项
配置说明
角色名称
填写RAM角色名称,本示例填写ram-for-dts。
说明可以填写大写英文、小写英文、数字或短横线(-),长度不超过64个字符。
备注(可选)
填写RAM角色备注信息。
选择信任的云账号
选择为其他云账号,并填写创建DTS任务的阿里云账号(主账号)ID作为授信云账号。
单击完成。
单击精确授权。
在权限管理页签,单击精确授权。
在精确授权面板中,勾选选择权限类型为系统策略。
在输入策略名称下方的文本框中,输入AliyunDTSRolePolicy。
单击确定。
精确授权成功后,单击关闭。
步骤二:授权RAM角色访问阿里云账号下的专有网络
使用专线所属的阿里云账号(主账号)登录RAM控制台。
在左侧导航栏,选择。
重要请勿选择为,否则DTS将无法访问数据库实例并报错。
找到在步骤一中创建的RAM角色,单击对应的RAM角色名称。
在权限管理页签,单击新增授权。
在新增授权面板,为RAM角色添加权限。
选择资源范围。
账号级别:权限在当前阿里云账号内生效。
资源组级别:权限在指定的资源组内生效。
说明指定资源组授权生效的前提是该云服务及资源类型已支持资源组,详情请参见支持资源组的云服务。
在权限策略区域的下拉框中,将策略类型选择权限为系统策略。
选择权限策略。
在搜索框中输入AliyunVPCReadOnlyAccess进行搜索,然后单击该策略名称将其移动至已选择权限策略区域框。
单击确认新增授权。
单击关闭。
在RAM角色的基本信息页面,单击信任策略页签。
在信任策略页签中,单击编辑信任策略。
将下述代码复制至策略框中。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::<目标实例所属的云账号ID>:root" ], "Service": [ "<目标实例所属的云账号ID>@dts.aliyuncs.com" ] } } ], "Version": "1" }使用目标实例所属的云账号(主账号)替换至上述代码中的
<目标实例所属的云账号ID>。单击保存信任策略。