Menggunakan tag untuk memberikan akses ke instance ApsaraDB RDS berdasarkan grup - Resource Access Management

Topik ini menjelaskan cara menggunakan tag untuk memberikan pengguna Resource Access Management (RAM) akses ke instance ApsaraDB RDS berdasarkan grup. Setelah otorisasi, pengguna RAM hanya dapat melihat dan mengelola sumber daya yang telah diberi tag.

Informasi latar belakang

Dalam contoh ini, Anda memiliki 10 instance ApsaraDB RDS. Anda ingin memberikan tim pengembang izin untuk mengelola 5 instance dan tim operator untuk mengelola 5 instance lainnya. Namun, Anda ingin setiap tim hanya melihat instance yang diizinkan untuk mereka kelola.

Untuk tujuan ini, Anda dapat membuat dua grup pengguna RAM bernama developer dan operator.

Anda juga perlu membuat dua kebijakan kustom bernama policyForDevTeam dan policyForOpsTeam.

Selain itu, Anda harus membuat tag berikut:

Tag yang ditambahkan ke lima instance ApsaraDB RDS dengan kunci tag team dan nilai tag dev.
Tag yang ditambahkan ke lima instance ApsaraDB RDS lainnya dengan kunci tag team dan nilai tag ops.

Prosedur

Prosedur penggunaan tag untuk memberikan akses ke instance ApsaraDB RDS berdasarkan grup serupa dengan prosedur untuk instance ECS. Untuk informasi lebih lanjut, lihat Gunakan Tag untuk Memberikan Akses ke Instance ECS Berdasarkan Grup.

Anda harus membuat dua kebijakan kustom berikut untuk mengotorisasi tim:

Kebijakan policyForDevTeam untuk grup pengguna RAM developer

{
  "Statement": [
    {
      "Action": "rds:*",
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "rds:ResourceTag/team": "dev"
         }
       }
     },
    {
       "Action": "rds:DescribeTag*",
       "Effect": "Allow",
       "Resource": "*"
     }
  ],
  "Version": "1"
}

Kebijakan policyForOpsTeam untuk grup pengguna RAM operator

{
  "Statement": [
    {
      "Action": "rds:*",
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "rds:ResourceTag/team": "ops"
         }
       }
     },
    {
       "Action": "rds:DescribeTag*",
       "Effect": "Allow",
       "Resource": "*"
     }
  ],
  "Version": "1"
}

Setiap kebijakan terdiri dari dua bagian:

Bagian "Action":"rds:*" yang mencakup Condition menentukan instance ApsaraDB RDS dengan tag team:dev atau team:ops.
Bagian "Action": "rds:DescribeTag*" memberikan otorisasi kepada pengguna RAM untuk menanyakan semua tag di ApsaraDB RDS. Setelah pengguna RAM masuk ke Konsol ApsaraDB RDS, semua tag yang ada akan ditampilkan. Pengguna RAM harus memilih nilai kunci tag untuk melihat instance ApsaraDB RDS yang sesuai.

Pertanyaan Umum

Jika terjadi kesalahan izin setelah menggunakan tag untuk memberikan akses kepada pengguna RAM ke instance ApsaraDB RDS berdasarkan grup, periksa apakah kondisi berikut terpenuhi:

Tag telah ditambahkan ke instance ApsaraDB RDS.
Kunci dan nilai tag yang ditentukan dalam kebijakan memiliki kunci dan nilai yang sama dengan tag yang ditambahkan ke instance ApsaraDB RDS.
Catatan Kunci dan nilai tag di ApsaraDB RDS tidak boleh mengandung huruf besar. Jika Anda memasukkan huruf besar saat membuat tag, ApsaraDB RDS akan mengubah huruf besar menjadi huruf kecil.
Kebijakan yang diperlukan telah dilampirkan ke pengguna RAM.
Wilayah yang dipilih di Konsol ApsaraDB RDS adalah wilayah tempat instance ApsaraDB RDS berada.
Nilai tag yang sesuai untuk menyaring instance telah dipilih.

Catatan Jika pengguna RAM masuk ke Konsol ApsaraDB RDS dan menerima pesan "Anda tidak memiliki izin untuk melakukan operasi ini," tutup pesan kesalahan tersebut. Pesan ini muncul karena semua instance ApsaraDB RDS ditampilkan secara default, tetapi pengguna RAM tidak berwenang untuk melihat semua sumber daya ApsaraDB RDS.