Berikan izin pengelolaan Data Transmission Service (DTS) kepada pengguna Resource Access Management (RAM) untuk menerapkan prinsip akses berbasis hak istimewa minimum dan meningkatkan keamanan akun Alibaba Cloud.
Prasyarat
Sebelum memulai, pastikan hal berikut:
Pengguna RAM telah diberi otorisasi untuk mengakses sumber daya cloud dari akun Alibaba Cloud saat ini yang digunakan dalam tugas DTS Anda, seperti instans ApsaraDB for RDS dan instans Elastic Compute Service (ECS). Hal ini memungkinkan DTS mengakses informasi sumber daya cloud terkait saat Anda mengonfigurasi tugas DTS sebagai pengguna RAM. Untuk detailnya, lihat Berikan otorisasi kepada DTS untuk mengakses sumber daya Alibaba Cloud.
Batasan
Perhatikan batasan berikut sebelum mengonfigurasi tugas DTS sebagai pengguna RAM:
Izin tingkat API: DTS tidak mendukung pemberian izin tingkat API kepada pengguna RAM. Hanya kebijakan sistem yang tercantum di bawah ini yang tersedia.
MaxCompute: Untuk menyinkronkan data ke proyek MaxCompute, gunakan akun Alibaba Cloud untuk mengonfigurasi tugas sinkronisasi data tersebut. Pengguna RAM tidak dapat mengonfigurasi jenis tugas ini.
Database Gateway: Jika pengguna RAM terhubung ke database melalui Database Gateway, berikan kebijakan AliyunDGFullAccess kepada pengguna RAM tersebut.
Cloud Enterprise Network (CEN): Jika pengguna RAM terhubung ke database melalui CEN, berikan kebijakan AliyunCENFullAccess kepada pengguna RAM tersebut.
Kebijakan sistem
DTS menyediakan dua kebijakan sistem untuk otorisasi pengguna RAM.
| Kebijakan | Tingkat akses | Apa yang dapat dilakukan pengguna RAM |
|---|---|---|
| AliyunDTSFullAccess | Baca dan tulis | Membeli, mengonfigurasi, dan mengelola instans DTS |
| AliyunDTSReadOnlyAccess | Hanya baca | Melihat detail dan konfigurasi semua tugas DTS yang dimiliki oleh akun Alibaba Cloud. Pengguna RAM tidak dapat membeli, mengonfigurasi, atau mengelola instans DTS. |
Berikan kebijakan sistem kepada pengguna RAM
Masuk ke Konsol RAM menggunakan akun Alibaba Cloud Anda.
Buat pengguna RAM jika belum melakukannya.
Di panel navigasi sebelah kiri, pilih Identities > Users.
Pada halaman Users, temukan pengguna RAM target lalu klik Add Permissions di kolom Actions.
Pada panel Add Permissions, konfigurasikan pengaturan berikut.
Pilih cakupan otorisasi:
Alibaba Cloud Account: Kebijakan berlaku di seluruh akun Alibaba Cloud saat ini.
Specific Resource Group: Kebijakan hanya berlaku dalam kelompok sumber daya tertentu. Pastikan layanan cloud mendukung kelompok sumber daya sebelum memilih opsi ini. Untuk detailnya, lihat Layanan yang kompatibel dengan Resource Group. Contoh otorisasi berbasis kelompok sumber daya tersedia di Gunakan kelompok sumber daya untuk memberikan izin kepada pengguna RAM guna mengelola instans ECS tertentu.
Konfirmasi Pihak yang Berwenang. Pihak yang Berwenang adalah Pengguna RAM yang Anda pilih.
Atur parameter Select Policy menjadi System Policy.
Masukkan
dtsdi kotak pencarian untuk memfilter kebijakan terkait DTS.Pilih kebijakan yang akan ditambahkan. Kebijakan tersebut akan muncul di bagian Selected. Untuk panduan memilih kebijakan yang tepat, lihat bagian Kebijakan sistem.
Klik OK.
Klik Complete.
Langkah berikutnya
Masuk ke Konsol Manajemen Alibaba Cloud sebagai pengguna RAM