通过本文介绍的方法配置RAM授权后,DTS可以在配置数据迁移或同步时读取其他阿里云账号下的专有网络,您可以将其他阿里云账号下通过专线接入的自建数据库迁移或同步至当前云账号下的云数据库中。
前提条件
专线所属的阿里云账号已经授权DTS的RAM角色访问其云资源,详情请参见授予DTS访问云资源的权限。背景信息
本地IDC或第三方云已通过专线、VPN网关或智能接入网关接入至阿里云,现在需要将本地IDC或第三方云中的自建数据库通过专有网络迁移或同步至其他阿里云账号下的云数据库中,详细架构如下图所示。
重要 在使用DTS跨阿里云账号迁移或同步专有网络下的自建数据库之前,您需要在专线所属的阿里云账号中配置RAM授权,同时将目标实例所属的云账号(主账号)设置为授信云账号,然后授权其访问专线所属的阿里云账号相关云资源。

步骤一:创建RAM角色并授予其DTS默认角色权限
- 使用专线所属的阿里云账号登录RAM控制台。
- 在左侧导航栏,选择 。
- 在角色页面,单击创建角色。
- 在创建角色面板,选择可信实体类型为阿里云账号,然后单击下一步。
- 设置角色信息。
- 单击完成。
- 在角色页面,单击目标RAM角色操作列的精确授权。
- 在添加权限对话框中,选择权限类型为系统策略,然后输入策略名称:AliyunDTSRolePolicy。
- 单击确定。
- 单击关闭。
步骤二:授权RAM角色访问阿里云账号下的专有网络
- 使用专线所属的阿里云账号登录RAM控制台。
- 在左侧导航栏,选择 。
- 找到在步骤一中创建的RAM角色,单击对应的RAM角色名称。
- 在权限管理页签,单击新增授权。
- 在新增授权面板,为RAM角色添加AliyunVPCReadOnlyAccess权限。
- 单击确定。
- 单击完成。
- 在RAM角色的基本信息页面,单击信任策略管理页签。
- 单击修改信任策略,将下述代码复制至策略框中。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::目标实例所属的云账号ID:root" ], "Service": [ "目标实例所属的云账号ID@dts.aliyuncs.com" ] } } ], "Version": "1" }
说明 您需要使用目标实例所属的云账号(主账号)登录账号管理页面来获取云账号ID,并替换至上述代码中的目标实例所属的云账号ID
。 - 单击确定。