Kebijakan sistem menyediakan akses luas yang telah ditentukan sebelumnya dan tidak dapat dibatasi cakupannya ke sumber daya individual. Untuk membatasi pengguna RAM hanya pada database atau instans tertentu, buat kebijakan kustom guna menerapkan prinsip hak istimewa minimal. Halaman ini mencakup konsep utama kebijakan kustom dan menyediakan contoh untuk skenario umum pengendalian akses DMS.
Apa itu kebijakan kustom?
Kebijakan Resource Access Management (RAM) terbagi menjadi dua jenis: kebijakan sistem (dibuat dan dikelola oleh Alibaba Cloud) dan kebijakan kustom (dibuat dan dikelola oleh Anda). Kebijakan sistem biasanya memberikan akses administratif luas atau read-only, sedangkan kebijakan kustom memungkinkan Anda menentukan secara tepat sumber daya mana yang dapat diakses oleh pihak berwenang, sehingga mendukung pengendalian izin dengan detail halus.
Perilaku utama yang perlu diperhatikan sebelum membuat kebijakan kustom:
Setelah membuat kebijakan kustom, hubungkan ke pengguna RAM, grup pengguna RAM, atau role RAM untuk memberikan izin yang ditentukan kepada pihak berwenang tersebut.
Untuk menghapus kebijakan kustom yang telah dihubungkan ke suatu pihak berwenang, lepaskan terlebih dahulu, lalu hapus kebijakan tersebut.
Kebijakan kustom mendukung pengendalian versi. Kelola versi kebijakan melalui mekanisme manajemen versi RAM.
Skenario dan contoh
Contoh berikut menunjukkan cara mengontrol instans ApsaraDB RDS mana yang dapat diakses oleh pengguna RAM melalui DMS.
Berikan akses ke instans ApsaraDB RDS tertentu
Untuk membatasi pengguna RAM hanya pada satu instans RDS, buat kebijakan kustom dengan konten berikut dan hubungkan ke pengguna RAM tersebut. Untuk petunjuknya, lihat Buat kebijakan kustom dan Berikan izin kepada pengguna RAM.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": ["dms:LoginDatabase"],
"Resource": ["acs:rds:*:*:dbinstance/[$RDS_ID]"]
}
]
}Ganti [$RDS_ID] dengan ID instans ApsaraDB RDS.
Berikan akses ke semua instans ApsaraDB RDS dalam akun Anda
Untuk mengizinkan pengguna RAM login ke instans RDS apa pun melalui DMS, gunakan salah satu opsi berikut:
Opsi 1: Berikan izin
AliyunRDSFullAccesskepada pengguna RAM di Konsol RAM.Opsi 2: Buat kebijakan kustom dengan konten berikut dan hubungkan ke pengguna RAM tersebut.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": ["dms:LoginDatabase"],
"Resource": ["acs:rds:*:*:*"]
}
]
}FAQ
Q: Jika pengguna yang sama login ke DMS menggunakan konfigurasi akses Single Sign-On (SSO) yang berbeda, apakah izin aset data akan disinkronkan secara otomatis?
A: Tidak, tidak disinkronkan secara otomatis. Izin aset data di DMS bersifat independen dari konfigurasi izin RAM. Setelah pengguna login dengan konfigurasi akses SSO yang berbeda, Anda harus memberikan izin tersebut kembali. Untuk menetapkan pemilik data, Anda juga harus memperbarui pengaturannya. Perhatikan bahwa Anda dapat menetapkan maksimal tiga pengguna DMS sebagai pemilik data.