全部产品
Search

搜索本产品

    ApsaraDB RDS:Memberikan Izin Read-Only kepada Pengguna RAM pada Instans ApsaraDB RDS Tertentu

    文档中心

    ApsaraDB RDS:Memberikan Izin Read-Only kepada Pengguna RAM pada Instans ApsaraDB RDS Tertentu

    更新时间:Nov 10, 2025

    Resource Access Management (RAM) menyediakan beberapa metode untuk otorisasi detail halus, seperti Otorisasi Berbasis ARN, Otorisasi Berbasis Kelompok Sumber Daya, dan Otorisasi Berbasis Tag. Topik ini memberikan contoh penggunaan metode-metode tersebut untuk memberikan izin read-only kepada Pengguna RAM pada instans ApsaraDB RDS tertentu.

    Prasyarat

    Pengguna RAM telah dibuat. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.

    Cara memilih metode otorisasi

    • Otorisasi Berbasis ARN

      • Fitur: Memungkinkan pemberian izin read-only ke instans ApsaraDB RDS tertentu dengan presisi tinggi.

      • Skenario: Cocok untuk kontrol izin detail halus atas satu atau sejumlah kecil instans ApsaraDB RDS tertentu.

      • Contoh: Instans basis data tertentu dalam lingkungan pengembangan.

    • Otorisasi Berbasis Grup Sumber Daya

      • Fitur: Memungkinkan pengelompokan beberapa instans ApsaraDB RDS. Anda dapat memberikan izin yang sama kepada beberapa instans ApsaraDB RDS dalam kelompok sumber daya dalam satu operasi.

      • Skenario: Cocok untuk pemberian izin secara batch ke sekelompok instans ApsaraDB RDS yang memiliki fitur serupa.

      • Contoh: Jika beberapa instans ApsaraDB RDS berada di wilayah atau proyek yang berbeda tetapi memerlukan kebijakan keamanan yang sama, Anda dapat menambahkan instans-instans tersebut ke dalam kelompok sumber daya. Kemudian, Anda dapat memberikan izin read-only ke semua instans dalam kelompok itu.

    • Otorisasi Berbasis Tag

      • Fitur: Memungkinkan pemberian izin secara dinamis berdasarkan pasangan kunci-nilai tag.

      • Skenario: Cocok untuk manajemen izin fleksibel dari instans ApsaraDB RDS berdasarkan tag. Metode ini ideal untuk mengontrol izin berdasarkan properti bisnis atau metadata lainnya.

      • Contoh: Misalkan Anda memiliki beberapa instans ApsaraDB RDS dengan tag berbeda, seperti env=prod, env=test, dan project=finance. Anda dapat menggunakan aturan otorisasi berbasis tag untuk mengizinkan pengguna tertentu mengakses hanya instans ApsaraDB RDS dengan tag tertentu. Anda tidak perlu mengonfigurasi izin untuk setiap instans satu per satu.

    Prosedur

    Catatan

    Lakukan operasi berikut menggunakan Akun Alibaba Cloud Anda.

    Metode 1: Otorisasi berbasis ARN

    Dengan otorisasi berbasis ARN, Anda menggunakan Nama Sumber Daya Alibaba Cloud (ARN) dalam kebijakan akses untuk menentukan sumber daya yang ingin diotorisasi. Ini memberikan kontrol akses yang tepat atas sumber daya tertentu. Untuk informasi lebih lanjut tentang elemen dasar dari kebijakan akses, lihat Elemen Dasar dari Kebijakan Akses.

    1. Buat Kebijakan Akses.

      1. Masuk ke Konsol RAM.

      2. Di panel navigasi di sebelah kiri, pilih Permission Management > Policies.

      3. Klik Create Policy.

      4. Klik tab Visual Editor atau tab Script Editor.

        Editor Visual

        1. Atur Effect menjadi Allow dan Service menjadi ApsaraDB RDS.

        2. Untuk Action, pilih izin terkait Describe di bawah Read. Anda dapat mencari Describe dan memilih semua izin terkait.

          Penting

          Jika Anda memilih terlalu banyak izin dan isi kebijakan melebihi batas panjang, Anda dapat mengajukan tiket untuk meningkatkan batas.

        3. Untuk Resource, pilih Specified Resource(s). Format ARN adalah acs:rds:{#regionId}:{#accountId}:dbinstance/{#dbinstanceId}. ARN ini mendefinisikan Resource sebagai instans yang ingin diberikan izin. Biarkan bidang Condition kosong.

        4. Klik Add Statement. Atur Effect menjadi Allow dan Service menjadi ApsaraDB RDS.

        5. Atur Action menjadi rds:DescribeDBInstances. Atur Resource menjadi All Resources. Biarkan bidang Condition kosong.

        Editor Skrip

        Di editor skrip, masukkan konten berikut:

        {
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "rds:Describe*",
      "Resource": "acs:rds:*:*:dbinstance/Instance ID"
    },
    {
      "Effect": "Allow",
      "Action": "rds:DescribeDBInstances",
      "Resource": "*"
    }
  ],
  "Version": "1"
}

      5. Klik OK. Di kotak dialog Create Policy, masukkan Policy Name dan Note. Konfirmasi isi kebijakan dan klik OK lagi.

    2. Sambungkan kebijakan kustom ke Pengguna RAM.

      1. Di panel navigasi di sebelah kiri, pilih Identity Management > Users.

      2. Temukan pengguna target dan klik Add Permissions di kolom Actions.

      3. Untuk Authorization Scope, pilih kelompok sumber daya untuk contoh ini. Di bagian Select Policy, klik Custom Policy. Lalu, cari dan pilih kebijakan yang Anda buat.

      4. Klik Confirm Authorization.

    3. Masuk ke Konsol ApsaraDB RDS sebagai Pengguna RAM dan lihat instans.

      1. Pergi ke Daftar Instans ApsaraDB RDS. Pilih wilayah di bilah navigasi atas untuk melihat daftar instans.

      2. Klik instans yang diberi izin untuk melihat detailnya.

        Catatan

        Dengan metode otorisasi ini, Pengguna RAM dapat melihat semua instans dalam daftar instans tetapi hanya dapat melihat detail instans yang diberi izin. Jika pengguna mencoba melihat instans lain yang tidak diberi izin, pesan "izin tidak cukup" akan ditampilkan.

    Konfigurasi selesai. Anda telah memberikan izin read-only kepada Pengguna RAM pada instans ApsaraDB RDS yang ditentukan. Anda juga dapat memberikan izin lain kepada Pengguna RAM sesuai kebutuhan.

    Metode 2: Otorisasi berbasis grup sumber daya

    Dengan otorisasi berbasis kelompok sumber daya, Anda menempatkan sumber daya yang ingin diotorisasi ke dalam kelompok sumber daya yang sama. Kemudian, ketika memberikan izin kepada Pengguna RAM, Anda menentukan kelompok sumber daya tersebut. Ini memberikan otorisasi yang tepat untuk semua sumber daya dalam kelompok.

    1. Buat Grup Sumber Daya.

      1. Masuk ke Konsol Manajemen Sumber Daya. Di panel navigasi di sebelah kiri, klik Resource Groups.

      2. Klik Create Resource Group. Atur Resource Group ID dan Resource Group Name, lalu klik Confirm.

    2. Pindahkan instans ke kelompok sumber daya baru.

      1. Temukan instans target di kelompok sumber dayanya saat ini. Misalnya, jika instans target berada di Default Resource Group, klik Manage Resources di kolom Actions untuk kelompok tersebut.

      2. Cari instans target berdasarkan ID instansnya. Pilih instans dan klik Transfer Resource Group.image

      3. Di jendela Transfer Resource Group, pilih kelompok sumber daya yang Anda buat di Langkah 1, lalu klik Confirm.

      4. Di jendela sukses, klik Confirm.

        Pemindahan berhasil jika Anda dapat melihat instans target di kelompok sumber daya baru.

    3. Buat Kebijakan Akses.

      1. Masuk ke Konsol RAM.

      2. Di panel navigasi di sebelah kiri, pilih Permission Management > Policies.

      3. Klik Create Policy.

      4. Klik tab Visual Editor atau tab Script Editor.

        Editor Visual

        1. Atur Effect menjadi Allow dan Service menjadi ApsaraDB RDS.

        2. Untuk Action, pilih izin terkait Describe di bawah Read. Anda dapat mencari Describe dan memilih semua izin terkait.

          Penting

          Jika Anda memilih terlalu banyak izin dan isi kebijakan melebihi batas panjang, Anda dapat mengajukan tiket untuk meningkatkan batas.

        3. Atur Resource menjadi All Resources. Biarkan bidang Condition kosong.

        Editor Skrip

        Di editor skrip, masukkan konten berikut:

        {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "rds:Describe*"
            ],
            "Resource": "*"
        }
    ]
}

      5. Klik OK. Di kotak dialog Create Policy, masukkan Policy Name dan Note. Konfirmasi isi kebijakan dan klik OK lagi.

    4. Sambungkan kebijakan kustom ke Pengguna RAM.

      1. Di panel navigasi di sebelah kiri, pilih Identity Management > Users.

      2. Temukan pengguna target dan klik Add Permissions di kolom Actions.

      3. Untuk Authorization Scope, pilih kelompok sumber daya yang Anda buat. Di bagian Select Policy, klik Custom Policy. Cari dan pilih kebijakan yang Anda buat.

      4. Klik Confirm Authorization.

    5. Masuk ke Konsol ApsaraDB RDS sebagai Pengguna RAM dan lihat instans.

      1. Pergi ke Daftar Instans ApsaraDB RDS dan pilih wilayah di bilah navigasi atas.

      2. Pilih kelompok sumber daya yang Anda buat di Langkah 1, seperti yang ditunjukkan oleh ① pada gambar berikut, untuk melihat instans target.image

    Konfigurasi selesai. Anda telah memberikan izin read-only kepada Pengguna RAM pada instans ApsaraDB RDS yang ditentukan. Anda juga dapat memberikan izin lain kepada Pengguna RAM sesuai kebutuhan.

    Metode 3: Otorisasi berbasis tag

    Dengan otorisasi berbasis tag, Anda menambahkan tag yang sama ke sumber daya yang ingin diotorisasi. Saat membuat kebijakan akses, kebijakan tersebut hanya berlaku untuk sumber daya dengan tag tertentu. Ini memberikan otorisasi yangtepat untuk semua sumber daya yang berbagi tag tersebut.

    1. Tambahkan Tag Kustom ke Instans ApsaraDB RDS.

      1. Pergi ke Daftar Instans ApsaraDB RDS. Pilih wilayah dan temukan instans target.

      2. Di kolom Tags, klik ikon image, lalu klik Edit.image

      3. Atur kunci tag dan nilai tag, lalu klik Confirm.

        Dalam contoh ini, kunci tag diatur menjadi test-ram dan nilai tag diatur menjadi rds-mysql. Saat mengonfigurasi tag, gunakan kunci dan nilai yang bermakna.

        Tag kustom berhasil ditambahkan jika Anda dapat melihat tag di kolom Tag, seperti yang ditunjukkan pada gambar berikut.image

    2. Buat Kebijakan Akses.

      1. Masuk ke Konsol RAM.

      2. Di panel navigasi di sebelah kiri, pilih Permission Management > Policies.

      3. Klik Create Policy.

      4. Klik tab Visual Editor atau tab Script Editor.

        Editor Visual

        1. Atur Effect menjadi Allow dan Service menjadi ApsaraDB RDS.

        2. Untuk Action, pilih izin terkait Describe di bawah Read. Anda dapat mencari Describe dan memilih semua izin terkait.

          Penting

          Jika Anda memilih terlalu banyak izin dan isi kebijakan melebihi batas panjang, Anda dapat mengajukan tiket untuk meningkatkan batas.

        3. Atur Resource menjadi All Resources. Klik Add Condition. Atur Condition Key, Operator, dan Condition Value.

          Catatan

          Untuk parameter Condition, Condition Key harus rds:ResourceTag, dan Operator harus StringEquals. Untuk Condition Value, masukkan Tag Key dan Tag Value yang Anda tambahkan ke instans ApsaraDB RDS di Langkah 1.

        Editor Skrip

        Di editor skrip, masukkan konten berikut:

        Catatan

        Dalam skrip berikut, test-ram dan rds-mysql adalah contoh. Gantilah dengan kunci tag dan nilai tag yang Anda tambahkan ke instans ApsaraDB RDS di Langkah 1.

        {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "rds:Describe*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "rds:ResourceTag/test-ram": [
            "rds-mysql"
          ]
        }
      }
    }
  ]
}

      5. Klik OK. Di kotak dialog Create Policy, masukkan Policy Name dan Note. Konfirmasi isi kebijakan dan klik OK lagi.

    3. Sambungkan kebijakan kustom ke Pengguna RAM.

      1. Di panel navigasi di sebelah kiri, pilih Identity Management > Users.

      2. Temukan pengguna target dan klik Add Permissions di kolom Actions.

      3. Untuk Authorization Scope, pilih kelompok sumber daya yang Anda buat untuk contoh ini. Di bagian Select Policy, pilih Custom Policy. Cari dan pilih kebijakan yang Anda buat.

      4. Klik Confirm Authorization.

    4. Masuk ke Konsol ApsaraDB RDS sebagai Pengguna RAM dan lihat instans.

      1. Pergi ke Daftar Instans ApsaraDB RDS dan pilih wilayah di bilah navigasi atas.

      2. Gunakan fitur Filter By Tag untuk menyaring berdasarkan tag yang Anda tambahkan di Langkah 1. Instans target akan ditampilkan.image

    Konfigurasi selesai. Anda telah memberikan izin read-only kepada Pengguna RAM pada instans ApsaraDB RDS yang ditentukan. Anda juga dapat memberikan izin lain kepada Pengguna RAM sesuai kebutuhan.