通过自定义策略授权RAM用户管理PolarDB-X 1.0

如果RAM提供的系统策略无法满足您的业务需求,您可以通过创建自定义策略对PolarDB-X 1.0进行精细化权限管理。

前提条件

  • 使用RAM服务前,请确保已经激活PolarDB-X 1.0对RDS的访问授权,详情请参见激活授权

  • RAM子账户删除数据库与删除只读账户前,需开启MFA多因素认证,详情请参见为阿里云账号绑定MFA设备

  • 使用自定义策略对PolarDB-X 1.0进行精细化权限管理前,请先了解的权限定义,详情请参见资源授权

使用限制

RAM子账户没有修改PolarDB-X 1.0数据库密码的权限。

步骤一:创建自定义权限策略

  1. 使用阿里云账号(主账号)或具有管理权限的RAM用户登录RAM控制台

  2. 在左侧导航栏,选择权限管理 > 权限策略

  3. 权限策略页面,单击创建权限策略

  4. 创建权限策略页面,单击脚本编辑页签。

  5. 输入权限策略内容。

    关于权限策略语法结构的详情,请参见权限策略语法和结构

    如下列出了一些常见的自定义权限策略供您参考。

    说明
    • 请将下述代码中的1234替换成RAM子账号所对应的主账号的uid。

    • 请将下述代码中目标实例ID的替换为真实的PolarDB-X 1.0实例ID。

    • ram:PassRole相关代码表示给RAM账号添加RAM跨服务授权权限。授权RAM用户管理PolarDB-X 1.0必须同步进行此项授权。

    • 允许目标RAM子账户操作PolarDB-X 1.0控制台。

      {
        "Version": "1",
        "Statement": [
            {
                 "Action": "drds:*",
                "Resource": "acs:drds:*:1234:instance/*",
                "Effect": "Allow"
            },
            {
                  "Action": "ram:PassRole",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
      }
    • 仅允许目标RAM子账号访问华东1(杭州)地域下的所有PolarDB-X 1.0实例。

      {
        "Version": "1",
        "Statement": [
            {
                "Action": "drds:*",
                "Resource": "acs:drds:cn-hangzhou:1234:instance/*",
                "Effect": "Allow"
            },
            {
                "Action": "ram:PassRole",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
      }       
    • 不允许目标RAM子账号访问特定实例。

      {
        "Version": "1",
        "Statement": [
            {
                "Action": "drds:*",
                "Resource": "acs:drds:*:1234:instance/*",
                "Effect": "Allow"
            },
            {
                "Action": "drds:*",
                "Resource": [
                    "acs:drds:*:1234:instance/目标实例ID",
                ],
                "Effect": "Deny"
            },
            {
                "Action": "ram:PassRole",
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
      }            
      说明

      被授予该策略的RAM子账户可以访问主账号下除目标实例ID之外的所有PolarDB-X 1.0实例。

  6. 单击继续编辑基本信息

  7. 单击确定

步骤二:为RAM用户授权自定义策略

  1. 使用阿里云账号(主账号)或具有管理权限的RAM用户登录RAM控制台

  2. 在左侧导航栏,选择权限管理 > 授权

  3. 授权页面,单击新增授权

  4. 新增授权面板,为RAM用户添加权限。

    1. 选择授权应用范围。

    2. 指定授权主体。

      授权主体即需要添加权限的RAM用户。

    3. 选择权限策略。

      权限策略是一组访问权限的集合,包括:

      • 系统策略:由阿里云创建,策略的版本更新由阿里云维护,用户只能使用不能修改。更多信息,请参见支持RAM的云服务

      • 自定义策略:由用户管理,策略的版本更新由用户维护。用户可以自主创建、更新和删除自定义策略。更多信息,请参见创建自定义权限策略

      说明

      每次最多绑定5条策略,如需绑定更多策略,请分多次操作。

  5. 单击确定

  6. 单击完成

说明

更多为RAM用户或用户组授权的方式,请参见为RAM用户授权为用户组授权