Anda dapat menggunakan Konsol Resource Access Management (RAM) untuk memberikan izin berbeda kepada pengguna RAM pada Database Autonomy Service (DAS). Hal ini membantu Anda memberikan izin yang lebih terperinci dan meningkatkan keamanan akun.
Gunakan kebijakan sistem untuk memberikan izin kepada pengguna RAM
Buat pengguna RAM. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.
Berikan izin kepada pengguna RAM pada DAS. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.
AliyunHDMFullAccess: Memberikan pengguna RAM izin penuh pada DAS.
AliyunHDMReadOnlyAccess: Memberikan pengguna RAM izin hanya-baca pada DAS.
AliyunHDMReadOnlyWithSQLLogArchiveAccess: Memberikan pengguna RAM izin hanya-baca pada DAS serta izin untuk menggunakan fitur cari dan ekspor di modul Penjelajah SQL dan Audit.
CatatanAnda juga dapat menggunakan kebijakan kustom untuk memberikan pengguna RAM izin menggunakan fitur cari dan ekspor di modul Penjelajah SQL dan Audit. Untuk informasi lebih lanjut, lihat bagian Gunakan Kebijakan Kustom untuk Memberikan Pengguna RAM Izin Menggunakan Fitur Cari dan Ekspor di Modul Penjelajah SQL dan Audit dari topik ini.
Gunakan kebijakan kustom untuk memberikan izin kepada pengguna RAM
Jika metode sebelumnya tidak memenuhi kebutuhan Anda, Anda dapat membuat kebijakan kustom untuk menerapkan kontrol akses yang lebih terperinci.
Kebijakan mendefinisikan serangkaian izin berdasarkan struktur dan sintaksis tertentu. Anda dapat menggunakan kebijakan untuk menentukan sumber daya yang diberi otorisasi, operasi yang diizinkan, serta kondisi otorisasi. Untuk informasi lebih lanjut tentang elemen, struktur, dan sintaksis kebijakan, lihat Elemen Dasar Kebijakan dan Struktur dan Sintaksis Kebijakan.
Buat pengguna RAM. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.
Buat kebijakan kustom. Untuk informasi lebih lanjut, lihat bagian Buat Kebijakan Kustom di Tab JSON dari topik "Buat Kebijakan Kustom".
Lampirkan kebijakan kustom yang dibuat ke pengguna RAM. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.
Gunakan kebijakan kustom untuk memberikan pengguna RAM izin untuk menggunakan fitur cari dan ekspor di modul Penjelajah SQL dan Audit
Buat kebijakan kustom yang memberikan izin untuk menggunakan fitur ekspor. Untuk informasi lebih lanjut, lihat bagian Buat Kebijakan Kustom di Tab JSON dari topik "Buat Kebijakan Kustom".
Instans ApsaraDB RDS
{ "Version": "1", "Statement": [ { "Action": [ "rds:DescribeSQLLogRecordsList", "rds:DescribeSqlLogDetailArchiveStatus", "rds:StartSqlLogDetailArchive" ], "Resource": "*", "Effect": "Allow" } ] }CatatanKebijakan kustom di atas memberikan pengguna RAM izin untuk mengekspor informasi tentang semua instans ApsaraDB RDS. Jika Anda ingin memberikan pengguna RAM izin untuk mengekspor informasi tentang instans ApsaraDB RDS tertentu, ganti
"Resource": "*"dengan"Resource": "acs:rds:*:*:dbinstance/<ID instans ApsaraDB RDS>".Kluster PolarDB untuk MySQL
{ "Version": "1", "Statement": [ { "Action": [ "polardb:DescribeSQLLogRecords", "polardb:DescribeSqlLogDetailArchiveStatus", "polardb:StartSqlLogDetailArchive" ], "Resource": "*", "Effect": "Allow" } ] }CatatanKebijakan kustom di atas memberikan pengguna RAM izin untuk mengekspor informasi tentang semua PolarDB untuk MySQL kluster. Jika Anda ingin memberikan pengguna RAM izin untuk mengekspor informasi tentang kluster PolarDB untuk MySQL tertentu, ganti
"Resource": "*"dengan"Resource": "acs:polardb:*:*:dbcluster/<ID kluster PolarDB untuk MySQL>".Instans PolarDB-X 2.0
{ "Version": "1", "Statement": [ { "Action": [ "hdm:DescribeDasSQLLogRecordsList", "hdm:DescribeDasSqlLogDetailArchiveStatus", "hdm:StartDasSqlLogDetailArchive" ], "Resource": "*", "Effect": "Allow" } ] }CatatanKebijakan kustom di atas memberikan pengguna RAM izin untuk mengekspor informasi tentang semua PolarDB-X 2.0 instans. Jika Anda ingin memberikan pengguna RAM izin untuk mengekspor informasi tentang instans PolarDB-X 2.0 tertentu, ganti
"Resource": "*"dengan"Resource": "acs:polardbx:*:*:instance/<ID instans PolarDB-X 2.0>".
Lampirkan kebijakan kustom yang dibuat ke pengguna RAM. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.
CatatanJika Anda ingin mengekspor data di konsol layanan database, pastikan bahwa pengguna RAM memiliki read-only permissions pada layanan database.
Contoh kebijakan kustom
Kode berikut memberikan contoh cara menggunakan kebijakan kustom untuk memberikan pengguna RAM izin hanya-baca pada instans ApsaraDB RDS:
{
"Version": "1",
"Statement": [
{
"Action": [
"hdm:Get*",
"hdm:Describe*",
"hdm:Query*"
],
"Resource": "acs:rds:*:*:dbinstance/<ID instans ApsaraDB RDS>",
"Effect": "Allow"
}
]
}Ganti ID instans dengan yang sebenarnya.
Setelah izin diberikan kepada pengguna RAM, pesan berikut akan ditampilkan saat Anda masuk ke konsol DAS sebagai pengguna RAM: You do not have permissions. Contact the Alibaba Cloud account administrator for authorization. Dalam hal ini, klik ikon
untuk menutup pesan. Tambahkan performance/instance/<ID Instans>/detailke URL konsol dan segarkan halaman. Kemudian, halaman detail instans akan ditampilkan.Anda dapat menambahkan izin terkait DAS ke kebijakan kustom layanan database. Dengan cara ini, Anda dapat menggunakan fitur DAS terkait di konsol layanan database.
Untuk instans database yang berbeda, Anda harus mengganti bagian Resource dalam contoh kebijakan kustom berdasarkan kebutuhan bisnis Anda. Contoh:
Instans ApsaraDB RDS
"Resource": "acs:rds:*:*:dbinstance/<ID instans ApsaraDB RDS>"Instans ApsaraDB untuk Redis
"Resource": "acs:kvstore:*:*:*/<ID instans ApsaraDB untuk Redis>"Instans ApsaraDB untuk MongoDB
"Resource": "acs:dds:*:*:dbinstance/<ID instans ApsaraDB untuk MongoDB>"PolarDB untuk MySQL, PolarDB untuk PostgreSQL, dan PolarDB untuk PostgreSQL (Kompatibel dengan Oracle) kluster
"Resource": "acs:polardb:*:*:*/<ID kluster PolarDB>"Instans PolarDB-X 2.0
"Resource": "acs:polardbx:*:*:*/<ID instans PolarDB-X 2.0>"