Berkolaborasi pada sumber daya di DMS lintas akun Alibaba Cloud - Data Management

Dalam Data Management Service (DMS), sumber daya diisolasi berdasarkan akun Alibaba Cloud. Untuk mengakses sumber daya dari akun Alibaba Cloud lain atau mendaftarkan sumber daya Anda di DMS milik akun lain, Anda harus melakukan operasi lintas akun. Topik ini menjelaskan cara mengakses dan mendaftarkan sumber daya lintas akun Alibaba Cloud.

Daftarkan instans lintas akun Alibaba Cloud

Catatan

Hanya instans Alibaba Cloud yang dapat didaftarkan lintas akun.
Saat menambahkan instans dari akun lain, DMS mensyaratkan bahwa pemilik sumber daya telah masuk ke DMS.

Berikan izin

Catatan

Sebelum mendaftarkan instans lintas akun, Anda harus memberikan izin yang diperlukan kepada Pengguna RAM. Izin tersebut mencakup pengelolaan sumber daya DMS dan pendaftaran jenis instansiasi basis data tertentu di DMS.

Asumsikan akun Alibaba Cloud A perlu mendaftarkan sumber daya dari akun Alibaba Cloud B di penyewa DMS milik akun A. Pengguna RAM dari akun B harus melakukan langkah-langkah berikut di konsol RAM:

Masuk ke konsol RAM sebagai Pengguna RAM yang termasuk dalam akun Alibaba Cloud B milik pemilik sumber daya. Pengguna ini harus memiliki izin AliyunRAMFullAccess.
Di halaman Peran, buat Peran RAM dan tetapkan kebijakan kepercayaan untuk akun A. Anda dapat menggunakan salah satu metode berikut:
Metode 1: Editor visual
1. Di halaman Create Role, klik Switch to Policy Editor.
2. Di tab Visual Editor, atur Principal menjadi Cloud Service dan konfigurasikan parameter berikut:
  - Masukkan UID akun Alibaba Cloud A di kotak teks Other Account.
  - Atur parameter Cloud Service menjadi Data Management/DMS Enterprise.
3. Klik OK.
Metode 2: Editor skrip
1. Di halaman Create Role, klik Switch To Policy Editor.
2. Di tab Script Editor, masukkan kebijakan tersebut.
  Deskripsi kebijakan: Kebijakan kepercayaan ini memungkinkan pengguna yang ditentukan untuk mendaftarkan instans dan mengelola sumber daya lintas akun.
```
{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "<UID of Alibaba Cloud account A>@dms.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}
```
3. Klik OK.

Di halaman Kebijakan, buat kebijakan izin, seperti DmsCrossAccountPolicy.

Kebijakan akses mendukung jenis database dan jenis koneksi berikut (VPC dan Jalur sewa): Redis, PolarDB-X, OceanBase, Lindorm, Hologres, GDB, SelectDB, dan ClickHouse Enterprise Edition.

Catatan

Untuk RDS, PolarDB for MySQL, PolarDB for PostgreSQL, dan PolarDB for PostgreSQL (Compatible with Oracle), Anda dapat melewati Langkah 3 dan 4 serta langsung melanjutkan ke Langkah 5.

Klik untuk melihat kebijakan akses untuk setiap jenis database.

Redis

{
  "Statement": [
    {
      "Action": [
        "kvstore:DescribeSecurityIps",
        "kvstore:ModifySecurityIps",
        "kvstore:DescribeRegions",
        "kvstore:DescribeInstances",
        "kvstore:DescribeInstanceAttribute",
        "kvstore:DescribeInstanceConfig"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ],
  "Version": "1"
}

PolarDB-X 1.0

{
  "Statement": [
    {
      "Action": [
        "drds:DescribeDrdsInstances",
        "drds:QueryInstanceInfoByConn",
        "drds:DescribeDrdsInstanceList",
        "drds:DescribeDrdsDBIpWhiteList",
        "drds:ModifyDrdsIpWhiteList",
        "drds:DescribeDrdsInstanceVersion"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ],
  "Version": "1"
}

PolarDB-X 2.0

{
  "Statement": [
    {
      "Action": [
        "polardbx:DescribeDBInstances",
        "polardbx:DescribeSecurityIps",
        "polardbx:ModifySecurityIps",
        "polardbx:DescribeDBInstanceAttribute",
        "polardbx:DescribeDBInstanceViaEndpoint"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ],
  "Version": "1"
}

OceanBase

{
  "Statement": [
    {
      "Action": [
        "oceanbase:DescribeAllTenantsConnectionInfo",
        "oceanbase:DescribeInstances"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ],
  "Version": "1"
}

Lindorm

{
  "Statement": [
    {
      "Action": [
        "lindorm:GetLindormInstanceList",
        "lindorm:GetLindormInstance",
        "lindorm:GetLindormInstanceListForDMS",
        "lindorm:GetLindormInstanceForDMS",
        "lindorm:GetLindormInstanceForDMSByConnStr",
        "lindorm:GetInstanceIpWhiteList",
        "lindorm:UpdateInstanceIpWhiteList"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ],
  "Version": "1"
}

Hologres

{
  "Statement": [
    {
      "Action": [
        "hologram:GetInstance",
        "hologram:ListInstances"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ],
  "Version": "1"
}

GDB

{
  "Statement": [
    {
      "Action": [
        "gdb:DescribeDbInstances"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ],
  "Version": "1"
}

SelectDB

{
  "Statement": [
    {
      "Action": [
        "selectdb:DescribeDBInstances",
        "selectdb:DescribeDBInstanceAttribute",
        "selectdb:DescribeDBInstanceNetInfo",
        "selectdb:DescribeSecurityIPList",
        "selectdb:ModifySecurityIPList"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ],
  "Version": "1"
}

ClickHouse Enterprise Edition

{
  "Statement": [
    {
      "Action": [
        "clickhouse:DescribeDBClusters",
        "clickhouse:DescribeDBInstances",
        "clickhouse:DescribeDBInstanceAttribute",
        "clickhouse:DescribeEndpoints",
        "clickhouse:DescribeSecurityIPList",
        "clickhouse:ModifySecurityIPList"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ],
  "Version": "1"
}

Contoh deskripsi kebijakan: Kebijakan ini memungkinkan Anda mendaftarkan database di DMS melalui VPC atau Jalur sewa.

{
  "Statement": [
    {
      "Action": [
        "vpc:DescribeVpcs"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ],
  "Version": "1"
}

Di halaman Peran, berikan izin DmsCrossAccountPolicy kepada peran yang Anda buat pada Langkah 2. Untuk informasi selengkapnya, lihat Berikan izin kepada Peran RAM.
Di halaman Peran, klik nama peran tersebut. Di halaman yang muncul, salin ARN.

Daftarkan instans

Saat pengguna A mendaftarkan database, masukkan ARN peran tersebut.

Akses sumber daya instans lintas akun Alibaba Cloud

Catatan

Untuk mengakses sumber daya instans di DMS lintas akun Alibaba Cloud, ikuti langkah-langkah berikut.

Prasyarat

Pengguna yang mengakses sumber daya (Pengguna A) dan pemilik sumber daya (Akun B) harus berasal dari akun Alibaba Cloud yang berbeda. Akun B juga harus memiliki penyewa di DMS.

Berikan izin kepada pengakses

Masuk ke konsol RAM sebagai Pengguna RAM dari Akun B yang memiliki izin AliyunRAMFullAccess.
Di halaman Peran, buat Peran RAM.
Catatan
Di bagian Other Cloud Account, masukkan UID Akun A.
Di halaman Peran, berikan izin AliyunDMSLoginConsoleAccess kepada peran yang Anda buat pada Langkah 2. Izin ini diperlukan untuk masuk ke konsol DMS. Untuk informasi selengkapnya, lihat Berikan izin kepada Peran RAM.

Akses sumber daya DMS

Masuk ke Konsol Manajemen Alibaba Cloud sebagai Pengguna RAM dari Akun A yang memiliki izin AliyunSTSAssumeRoleAccess.
Di pojok kanan atas, klik gambar profil Anda dan alihkan identitas Anda.
Masukkan UID Akun B dan nama Peran RAM yang telah Anda buat.
Klik Submit.
Setelah pergantian peran selesai, akses Data Management DMS 5.0.
Catatan
Saat mengakses DMS, Anda secara otomatis ditetapkan sebagai pengguna biasa. Jika ingin memodifikasi atau mengekspor sumber daya instans, Anda harus mengajukan izin yang diperlukan di DMS.

Dokumen terkait

Daftarkan instans ApsaraDB

Daftarkan instans lintas akun Alibaba Cloud

Catatan

Berikan izin

Metode 1: Editor visual

Metode 2: Editor skrip

Redis

PolarDB-X 1.0

PolarDB-X 2.0

OceanBase

Lindorm

Hologres

GDB

SelectDB

ClickHouse Enterprise Edition

Daftarkan instans

Akses sumber daya instans lintas akun Alibaba Cloud

Prasyarat

Berikan izin kepada pengakses

Akses sumber daya DMS

Dokumen terkait