全部产品
Search

搜索本产品

    ApsaraDB RDS:Otorisasi pengguna RAM untuk mengelola instans ApsaraDB RDS

    文档中心

    ApsaraDB RDS:Otorisasi pengguna RAM untuk mengelola instans ApsaraDB RDS

    更新时间:Jul 06, 2025

    Topik ini menjelaskan cara memberikan otorisasi kepada pengguna RAM untuk mengelola instans ApsaraDB RDS menggunakan Resource Access Management (RAM).

    Prasyarat

    Pengguna RAM telah dibuat. Untuk informasi tentang cara membuat pengguna RAM, lihat Buat Pengguna RAM.

    Catatan

    Jika Anda ingin menggunakan fitur terkait Optimalisasi dan Diagnosis Kinerja sebagai pengguna RAM, Anda harus memberikan izin AliyunHDMFullAccess kepada pengguna RAM tersebut terlebih dahulu.

    Informasi latar belakang

    Anda dapat memberikan izin untuk memanggil operasi API kepada pengguna RAM. Sebagai contoh, jika Anda memberikan izin kepada pengguna RAM untuk memanggil operasi CreateDBInstance, pengguna RAM tersebut dapat membuat instans RDS di konsol ApsaraDB RDS.

    Prosedur berikut menunjukkan cara memberikan izin kepada pengguna RAM untuk memeriksa informasi tentang instans RDS. Prosedur untuk memberikan izin lainnya kepada pengguna RAM serupa.

    Prosedur

    1. Buat kebijakan.

      1. Masuk ke Konsol RAM.

      2. Di panel navigasi di sebelah kiri, pilih Permissions > Policies.

      3. Klik Create Policy.

      4. Pada halaman yang muncul, pilih Visual editor atau JSON.

        Editor Visual

        Parameter

        Deskripsi

        Effect

        Tentukan apakah akan memberikan izin kepada pengguna RAM pada layanan Alibaba Cloud. Contoh: Allow.

        Service

        Pilih layanan Alibaba Cloud di mana Anda ingin memberikan izin kepada pengguna RAM. Contoh: rds/RDS.

        Action

        Pilih aksi di mana Anda ingin memberikan izin kepada pengguna RAM. Nilai valid: All action(s) dan Select action(s). Jika Anda memilih Select action(s), Anda perlu memilih aksi dalam bagian All action(s) dan menambahkannya ke bagian Selected action(s). Kami merekomendasikan Anda memilih DescribDBInstances dalam Read actions. Jika tidak, Anda tidak dapat melihat daftar instans.

        Sebagai contoh, Anda dapat memilih semua Read actions, seperti yang ditunjukkan pada gambar berikut:

        选择操作

        Penting

        Jika panjang isi kebijakan melebihi batas karena banyak aksi yang dipilih, ajukan Tiket untuk memodifikasi batas panjang.

        Resource

        Pilih sumber daya di mana Anda ingin memberikan izin kepada pengguna RAM. Nilai valid: All resource(s) dan Specified resource(s).

        Jika Anda memilih Specified resource(s), Anda perlu menambahkan sumber daya berdasarkan format Nama Sumber Daya Alibaba Cloud (ARN) dari sumber daya tersebut. Untuk menambahkan sumber daya, klik Add source di sebelah kanan format ARN.

        Penting

        ARN sumber daya yang diperlukan untuk suatu aksi ditandai dengan Required. Untuk memastikan bahwa kebijakan berfungsi sesuai harapan, kami merekomendasikan Anda mengonfigurasi ARN sumber daya yang ditandai dengan Diperlukan.

        Sebagai contoh, acs:rds:*:{#accountId}:dbinstance/* ditandai dengan Diperlukan. Jika Anda tidak mengonfigurasi ARN sumber daya ini, pengguna RAM tidak dapat melihat instans dalam daftar instans.

        • acs:rds:{#regionId}:{#accountId}:dbinstance/{#dbinstanceId} diperlukan dan cocok dengan sumber daya berdasarkan wilayah, akun, dan ID instans.

        • acs:rds:{#regionId}:{#accountId}:dbinstance/* cocok dengan sumber daya berdasarkan wilayah dan akun.

        • acs:rds:*:{#accountId}:dbinstance/* diperlukan dan cocok dengan sumber daya berdasarkan akun.

        • acs:rds:*:{#accountId}:dbinstance/{#dbinstanceId} diperlukan dan cocok dengan sumber daya berdasarkan akun dan ID instans.

        Catatan

        Otorisasi RAM mendukung beberapa metode, seperti ARN, otorisasi berbasis grup sumber daya, dan otorisasi berbasis tag, untuk mengimplementasikan manajemen yang lebih rinci. Sebagai contoh, Anda dapat memberikan izin baca saja kepada pengguna RAM pada instans RDS tertentu. Untuk informasi lebih lanjut, lihat Berikan izin baca saja kepada pengguna RAM pada instans ApsaraDB RDS.

        Condition

        Tentukan batasan pada izin yang ingin Anda berikan kepada pengguna RAM. Sebagai contoh, Anda dapat membatasi alamat IP sumber dari mana pengguna RAM dapat masuk. Untuk informasi lebih lanjut, lihat Elemen dasar kebijakan.

        JSON

        Masukkan potongan kode berikut di editor kode:

        {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rds:Describe*",
            "Resource": "*"
        }
    ]
}
        Catatan

        Mode JSON lebih efisien daripada mode Visual editor. Sebagai contoh, dalam mode JSON, Anda dapat memasukkan Describe* di editor kode untuk menentukan semua operasi API yang namanya dimulai dengan Describe.

      5. Klik OK. Pada kotak dialog Create Policy, konfigurasikan Name dan Description untuk kebijakan tersebut dan klik OK.

    2. Lampirkan kebijakan kustom ke pengguna RAM.

      1. Di panel navigasi di sebelah kiri, pilih Identities > Users.

      2. Temukan pengguna RAM. Lalu, klik Add Permissions di kolom Actions.

      3. Di bagian Policy, pilih Custom Policy dari daftar drop-down. Temukan dan pilih kebijakan yang Anda buat, lalu klik OK.

      4. Klik Grant permissions.

    Setelah langkah-langkah di atas selesai, Anda dapat masuk ke konsol ApsaraDB RDS dan memeriksa informasi tentang instans RDS menggunakan kredensial pengguna RAM. Anda juga dapat memberikan izin lainnya kepada pengguna RAM dalam akun Alibaba Cloud Anda sesuai kebutuhan bisnis Anda.