注意事项
如果使用主账号登录全球多活数据库集群后,没有弹出提示授权的对话框,说明当前主账号已执行过授权,可跳过本文的操作。
权限策略说明
AliyunServiceRolePolicyForRDSGAD:全球多活数据库集群服务关联角色AliyunServiceRoleForRDSGAD的权限策略,包含RDS、DTS云资源的部分管理权限,具体权限定义如下。
AliyunDTSDefaultRole权限策略定义
{
"Version":"1",
"Statement":[
{
"Action":[
"rds:DescribeAccounts",
"rds:DescribeAvailableClasses",
"rds:DescribeAvailableResource",
"rds:DescribeAvailableZones",
"rds:DescribeDatabases",
"rds:DescribeDBInstanceAttribute",
"rds:DescribeDBInstanceDetail",
"rds:DescribeRegions"
],
"Resource":"*",
"Effect":"Allow",
"Condition":{
"StringEquals":{
"rds:ResourceTag/gadinstance":"yes"
}
}
},
{
"Action":[
"rds:CreateDBInstance"
],
"Resource":"*",
"Effect":"Allow"
},
{
"Action":[
"dts:ConfigureDtsJob",
"dts:StopDtsJob",
"dts:StartDtsJob",
"dts:ModifyDtsJob",
"dts:DeleteDtsJob",
"dts:DescribeDtsJobDetail",
"dts:DescribeDtsJobs",
"dts:InitDtsRdsInstance",
"dts:UntagResources",
"dts:ListTagResources"
],
"Resource":"*",
"Effect":"Allow",
"Condition":{
"StringEquals":{
"acs:ResourceTag/gadinstance":"yes"
}
}
},
{
"Action":[
"dts:CreateDtsInstance",
"dts:TagResources"
],
"Resource":"*",
"Effect":"Allow"
},
{
"Action":"ram:DeleteServiceLinkedRole",
"Resource":"*",
"Effect":"Allow",
"Condition":{
"StringEquals":{
"ram:ServiceName":"gad.rds.aliyuncs.com"
}
}
}
]
}
主账号授权步骤
使用主账号访问全球多活数据库集群页面。
在弹出的云资源访问授权对话框中,单击同意授权。
子账号授权步骤
使用主账号登录RAM控制台。
为子账号授予AliyunRDSGADFullAccess权限。
在左侧导航栏的身份管理菜单下,单击用户。
找到目标RAM用户,单击其操作列的添加权限。
在弹出对话框中,选择权限为系统策略。
勾选AliyunRDSGADFullAccess,将其添加到已选择区域框中。
单击确认新增授权。
单击关闭。
