全部产品
Search

搜索本产品

    Resource Access Management:Gunakan RAM untuk mengelola izin ApsaraDB RDS

    文档中心

    Resource Access Management:Gunakan RAM untuk mengelola izin ApsaraDB RDS

    更新时间:Jul 02, 2025

    Topik ini menjelaskan cara mengelola izin ApsaraDB RDS untuk pengguna Resource Access Management (RAM). Di konsol RAM, Anda dapat membuat kebijakan kustom dan melampirkannya ke pengguna RAM.

    Informasi latar belakang

    • Sebelum mengelola izin ApsaraDB RDS untuk pengguna RAM, perhatikan kebijakan sistem berikut:

      • AliyunRDSFullAccess: Memberikan izin kepada pengguna RAM untuk mengelola instance ApsaraDB RDS.

      • AliyunRDSReadOnlyAccess: Memberikan izin baca-saja pada instance ApsaraDB RDS.

      Jika kebijakan sistem tidak memenuhi kebutuhan bisnis Anda, Anda dapat membuat kebijakan kustom.

    • Sebelum mengelola izin ApsaraDB RDS untuk pengguna RAM, perhatikan izin ApsaraDB RDS. Untuk informasi lebih lanjut, lihat Gunakan RAM untuk otorisasi sumber daya.

    Prosedur

    1. Buat pengguna RAM.

      Untuk informasi lebih lanjut, lihat Buat pengguna RAM.

    2. Buat kebijakan kustom.

      Untuk informasi lebih lanjut, lihat Buat kebijakan kustom dan Contoh kebijakan.

    3. Lampirkan kebijakan ke pengguna RAM.

      Untuk informasi lebih lanjut, lihat Berikan izin kepada pengguna RAM.

    Contoh kebijakan

    • Contoh 1: Otorisasi pengguna RAM untuk mengelola dua instance ApsaraDB RDS yang ditentukan.

      Untuk mengotorisasi pengguna RAM mengelola instance ApsaraDB RDS rm-abcdxxxx001 dan rm-abcdxxxx002 di akun Alibaba Cloud Anda, gunakan skrip contoh berikut:

      {
  "Statement": [
    {
      "Action": "rds:*",
      "Effect": "Allow",
      "Resource": [
                  "acs:rds:*:*:dbinstance/rm-abcdxxxx001",
                  "acs:rds:*:*:dbinstance/rm-abcdxxxx002"
                  ]
    },
    {
      "Action": "rds:Describe*",
      "Effect": "Allow",
      "Resource": "*"
    }
  ],
  "Version": "1"
}
      Catatan

      • Pengguna RAM yang diberi otorisasi dapat melihat semua instance ApsaraDB RDS tetapi hanya dapat mengelola dua instance ApsaraDB RDS yang ditentukan.

      • Elemen Describe* diperlukan dalam kebijakan. Jika tidak, pengguna RAM yang diberi otorisasi tidak dapat melihat instance di konsol ApsaraDB RDS. Namun, pengguna RAM dapat memanggil operasi API atau menggunakan CLI atau SDK untuk mengelola dua instance ApsaraDB RDS yang ditentukan.

    • Contoh 2: Otorisasi pengguna RAM untuk mengakses Data Management (DMS).

      • Untuk mengotorisasi pengguna RAM masuk ke instance ApsaraDB RDS tertentu, gunakan skrip contoh berikut:

        {
  "Statement": [
    {
      "Action": "dms:LoginDatabase",
      "Effect": "Allow",
      "Resource": "acs:rds:*:*:dbinstance/rds783a0639ks5k7****"
    }
  ],
  "Version": "1"
}
        Catatan

        Anda harus mengganti rds783a0639ks5k7**** dengan ID instance ApsaraDB RDS.

      • Untuk mengotorisasi pengguna RAM masuk ke semua instance ApsaraDB RDS, gunakan skrip contoh berikut:

        {
  "Statement": [
    {
      "Action": "dms:LoginDatabase",
      "Effect": "Allow",
      "Resource": "acs:rds:*:*:*"
    }
  ],
  "Version": "1"
}