跨阿里云账号传输专有网络下的自建数据库时如何配置RAM授权
通过本文介绍的方法配置RAM授权后,DTS可以在配置数据迁移或同步时读取其他阿里云账号下的专有网络,您可以将其他阿里云账号下通过专线接入的自建数据库迁移或同步至当前云账号下的云数据库中。
前提条件
专线所属的阿里云账号已经授权DTS的RAM角色访问其云资源,详情请参见授予DTS访问云资源的权限。
背景信息
本地IDC或第三方云已通过专线、VPN网关或智能接入网关接入至阿里云,现在需要将本地IDC或第三方云中的自建数据库通过专有网络传输至其他阿里云账号下的云数据库中。
在使用DTS跨阿里云账号传输专有网络下的自建数据库之前,您需要在专线所属的阿里云账号中配置RAM授权,同时将目标实例所属的云账号(主账号)设置为授信云账号,然后授权其访问专线所属的阿里云账号相关云资源。
注意事项
专有网络下的自建数据库作为源库时支持跨阿里云账号,作为目标库时不支持。
步骤一:创建RAM角色并授予其DTS默认角色权限
使用专线所属的阿里云账号(主账号)登录RAM控制台。
在左侧导航栏,选择。
重要请勿选择为,否则DTS将无法访问数据库实例并报错。
在角色页面,单击创建角色。
在创建角色面板,选择可信实体类型为阿里云账号,然后单击下一步。
设置角色信息。
输入角色名称。
输入备注。
选择信任的云账号。
当前云账号:当您允许当前阿里云账号下的所有RAM用户扮演该RAM角色时,您可以选择当前云账号。
其他云账号:当您允许其他阿里云账号下的所有RAM用户扮演该RAM角色时,您可以选择其他云账号,然后输入其他阿里云账号(主账号)ID。该项主要针对跨阿里云账号的资源授权访问场景,相关教程,请参见跨阿里云账号的资源授权。
重要如果您仅允许指定的RAM用户扮演该RAM角色,而不是阿里云账号(主账号)下的所有RAM用户,您可以采取以下两种方式:
修改RAM角色的信任策略。具体操作,请参见示例一:修改RAM角色的可信实体为阿里云账号。
修改RAM用户的角色扮演权限策略。具体操作,请参见能否指定RAM用户具体可以扮演哪个RAM角色?。
您可以访问安全设置页面查看阿里云账号(主账号)ID。
单击完成。
单击精确授权。
在添加权限对话框中,勾选选择权限类型为系统策略。
在输入策略名称下方的文本框中,输入AliyunDTSRolePolicy。
单击确定。
单击关闭。
步骤二:授权RAM角色访问阿里云账号下的专有网络
使用专线所属的阿里云账号(主账号)登录RAM控制台。
在左侧导航栏,选择。
重要请勿选择为,否则DTS将无法访问数据库实例并报错。
找到在步骤一中创建的RAM角色,单击对应的RAM角色名称。
在权限管理页签,单击新增授权。
在新增授权面板,为RAM角色添加AliyunVPCReadOnlyAccess权限。
选择授权范围。
整个云账号:权限在当前阿里云账号内生效。
指定资源组:权限在指定的资源组内生效。
说明指定资源组授权生效的前提是该云服务已支持资源组。更多信息,请参见支持资源组的云服务。
指定授权主体。
授权主体即需要授权的RAM角色,系统会自动填入当前的RAM角色,您也可以添加其他RAM角色。
选择权限策略。
输入策略名称AliyunVPCReadOnlyAccess进行搜索,然后单击该策略名称将其移动至已选择区域框。
说明每次最多绑定5条策略,如需绑定更多策略,请分次操作。
单击确定。
单击完成。
在RAM角色的基本信息页面,单击信任策略管理页签。
单击修改信任策略,将下述代码复制至策略框中。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::目标实例所属的云账号ID:root" ], "Service": [ "目标实例所属的云账号ID@dts.aliyuncs.com" ] } } ], "Version": "1" }说明您需要使用目标实例所属的云账号(主账号)登录账号管理页面来获取云账号ID,并替换至上述代码中的
目标实例所属的云账号ID。单击确定。
