All Products
Search

This Product

    ApsaraDB RDS:Berikan izin read-only pada instans RDS tertentu

    Document Center

    ApsaraDB RDS:Berikan izin read-only pada instans RDS tertentu

    Last Updated:Jun 22, 2026

    RAM mendukung pengelolaan izin detail halus melalui beberapa metode, termasuk otorisasi berbasis ARN, otorisasi berbasis resource group, dan otorisasi berbasis tag. Topik ini menjelaskan cara menggunakan metode-metode tersebut untuk memberikan izin read-only kepada Pengguna RAM pada instans RDS tertentu.

    Prasyarat

    Pengguna RAM telah dibuat. Untuk informasi lebih lanjut, lihat Create a RAM user.

    Pilih metode otorisasi

    • ARN-based authorization

      • Fitur: Otorisasi berbasis ARN memungkinkan Anda memberikan izin read-only secara tepat ke instans RDS tertentu.

      • Kasus penggunaan: Ideal untuk kontrol izin detail halus pada satu atau beberapa instans RDS tertentu.

      • Contoh: Instans basis data tertentu di lingkungan pengembangan.

    • Resource group-based authorization

      • Fitur: Resource group memungkinkan Anda mengkategorikan beberapa instans RDS. Dengan memberikan otorisasi akses ke resource group, Anda dapat memberikan izin yang sama ke semua instans di dalamnya sekaligus.

      • Kasus penggunaan: Cocok untuk otorisasi massal terhadap sekelompok instans RDS yang memiliki karakteristik serupa.

      • Contoh: Saat Anda memiliki beberapa instans RDS di berbagai Wilayah atau Proyek yang memerlukan kebijakan keamanan yang sama, Anda dapat menambahkannya ke satu resource group dan memberikan izin read-only ke semua instans dalam grup tersebut.

    • Tag-based authorization

      • Fitur: Otorisasi berbasis tag memungkinkan Anda menetapkan izin secara dinamis berdasarkan pasangan kunci-nilai tag.

      • Kasus penggunaan: Paling cocok untuk pengelolaan izin fleksibel berdasarkan atribut bisnis atau metadata lainnya.

      • Contoh: Misalnya Anda memiliki beberapa instans RDS dengan tag berbeda, seperti env=prod, env=test, dan project=finance. Anda dapat menggunakan aturan otorisasi berbasis tag untuk mengizinkan pengguna tertentu hanya mengakses instans RDS dengan tag tertentu, tanpa harus mengonfigurasi izin untuk setiap instans secara individual.

    Prosedur

    Catatan

    Anda harus menggunakan Akun Alibaba Cloud untuk melakukan operasi otorisasi berikut.

    Metode 1: Otorisasi ARN

    Otorisasi berbasis ARN memungkinkan Anda memberikan izin tepat ke resource tertentu dengan menentukan Nama Sumber Daya Alibaba Cloud (ARN) mereka dalam suatu Kebijakan. Untuk informasi lebih lanjut tentang ARN, lihat Basic elements of a policy.

    1. Buat kebijakan.

      1. Masuk ke RAM console.

      2. Di panel navigasi sebelah kiri, pilih Permissions > Policies.

      3. Klik Create Policy.

      4. Pilih tab visual editor atau tab Edit Script.

        Visual editor

        1. Tetapkan Effect ke Allow dan Services ke ApsaraDB RDS / RDS.

        2. Untuk Actions, pilih semua izin terkait Describe dari kategori Read. Anda dapat menemukan izin ini dengan mencari "Describe".

          Penting

          Jika isi kebijakan melebihi batas panjang karena Anda memilih terlalu banyak izin, Anda dapat submit a ticket untuk meminta peningkatan batas.

        3. Untuk Resources, pilih Specify Resources dan tetapkan opsi ARN ke acs:rds:{#regionId}:{#accountId}:dbinstance/{#dbinstanceId} untuk mengonfigurasi Resources sebagai instans tertentu yang memerlukan otorisasi. Anda tidak perlu mengonfigurasi Condition.

        4. Klik Add Statement. Tetapkan Effect ke Allow dan Services ke ApsaraDB RDS / RDS.

        5. Tetapkan Actions ke rds:DescribeDBInstances. Tetapkan Resources ke All Resources. Jangan konfigurasi Condition.

        Script editor

        Di jendela editor skrip, masukkan konten berikut:

        {
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "rds:Describe*",
      "Resource": "acs:rds:*:*:dbinstance/<instance-id>"
    },
    {
      "Effect": "Allow",
      "Action": "rds:DescribeDBInstances",
      "Resource": "*"
    }
  ],
  "Version": "1"
}

      5. Klik OK. Di panel Create Policy, masukkan Policy Name dan Description. Pastikan isi kebijakan sudah benar, lalu klik OK.

    2. Lampirkan kebijakan ke Pengguna RAM.

      1. Di panel navigasi sebelah kiri, pilih Identities > User.

      2. Temukan pengguna target dan klik Add Permissions di kolom Actions.

      3. Untuk Grant Scope, tentukan resource group yang Anda buat untuk contoh ini. Lalu, di bagian Policies, klik Custom Policy, cari dan pilih kebijakan yang telah Anda buat.

      4. Klik OK.

    3. Masuk ke konsol ApsaraDB RDS sebagai Pengguna RAM dan tampilkan instans tersebut.

      1. Sebagai Pengguna RAM, buka halaman Instances. Pilih Wilayah di bagian atas untuk melihat daftar instans.

      2. Klik instans yang telah diberi otorisasi. Anda dapat melihat detailnya.

        Catatan

        Dengan metode otorisasi ini, Pengguna RAM dapat melihat semua instans di halaman daftar instans, tetapi hanya dapat melihat detail instans yang secara spesifik diberi otorisasi. Mencoba melihat instans lain yang tidak diotorisasi akan menghasilkan error "insufficient permissions".

    Konfigurasi selesai. Pengguna RAM kini memiliki izin read-only untuk instans RDS yang ditentukan. Anda dapat mengedit kebijakan untuk memberikan izin lain sesuai kebutuhan.

    Metode 2: Otorisasi resource group

    Dengan otorisasi berbasis resource group, Anda menempatkan resource ke dalam grup, lalu memberikan izin Pengguna RAM ke grup tersebut. Hal ini memberikan otorisasi yang sama untuk semua resource dalam grup.

    1. Buat resource group.

      1. Masuk ke Resource Management console. Di panel navigasi sebelah kiri, klik Resource Group.

      2. Klik Create Resource Group, masukkan Resource Group Identifier dan Resource Group Name, lalu klik OK.

    2. Pindahkan instans target ke resource group baru.

      1. Temukan instans target di resource group saat ini. Misalnya, jika instans berada di Default Resource Group, klik Resource Management di kolom Actions dari default resource group.

      2. Temukan instans target berdasarkan ID-nya, pilih instans tersebut, lalu klik Transfer Resource Group.

      3. Di jendela Transfer Resource Group, pilih resource group yang Anda buat di Langkah 1, lalu klik OK.

      4. Di jendela sukses, klik OK.

        Transfer selesai ketika instans target muncul di resource group baru.

    3. Buat kebijakan.

      1. Masuk ke RAM console.

      2. Di panel navigasi sebelah kiri, pilih Permissions > Policies.

      3. Klik Create Policy.

      4. Pilih tab visual editor atau tab Edit Script.

        Visual editor

        1. Tetapkan Effect ke Allow dan Services ke ApsaraDB RDS / RDS.

        2. Untuk Actions, pilih izin terkait Describe dari kategori Read. Anda dapat mencari "Describe" dan memilih semua izin terkait.

          Penting

          Jika isi kebijakan melebihi batas panjang karena Anda memilih terlalu banyak izin, Anda dapat submit a ticket untuk meminta peningkatan batas.

        3. Tetapkan Resources ke All Resources. Jangan konfigurasi Condition.

        Script editor

        Di jendela editor skrip, masukkan konten berikut:

        {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "rds:Describe*"
            ],
            "Resource": "*"
        }
    ]
}

      5. Klik OK. Di panel Create Policy, masukkan Policy Name dan Description. Pastikan isi kebijakan sudah benar, lalu klik OK.

    4. Lampirkan kebijakan kustom ke Pengguna RAM yang ditentukan.

      1. Di panel navigasi sebelah kiri, pilih Identities > User.

      2. Temukan pengguna target dan klik Add Permissions di kolom Actions.

      3. Untuk Grant Scope, tentukan resource group yang Anda buat untuk contoh ini. Lalu, di bagian Policies, klik Custom Policy, cari dan pilih kebijakan yang telah Anda buat.

      4. Klik OK.

    5. Masuk ke konsol ApsaraDB RDS sebagai Pengguna RAM dan tampilkan instans tersebut.

      1. Sebagai Pengguna RAM, buka halaman Instances dan pilih Wilayah di bagian atas.

      2. Pilih resource group yang Anda buat di Langkah 1. Instans target akan ditampilkan. Klik instans tersebut untuk melihat detailnya.

    Konfigurasi selesai. Pengguna RAM kini memiliki izin read-only untuk instans RDS yang ditentukan. Anda dapat mengedit kebijakan untuk memberikan izin lain sesuai kebutuhan.

    Metode 3: Otorisasi tag

    Otorisasi berbasis tag bekerja dengan menerapkan tag yang sama ke beberapa resource. Anda kemudian membuat kebijakan yang memberikan izin berdasarkan tag tersebut, sehingga mengotorisasi semua resource yang ditandai sekaligus.

    1. Tambahkan tag ke instans RDS.

      1. Buka halaman Instances, pilih Wilayah di bagian atas, lalu temukan instans target.

      2. Di kolom Tags, klik ikon image, lalu klik Edit.

      3. Tetapkan kunci tag dan nilai tag, lalu klik OK.

        Contoh ini menggunakan test-ram sebagai kunci tag dan rds-mysql sebagai nilai tag. Kami menyarankan Anda menggunakan kunci tag dan nilai tag yang bermakna.

        Tag test-ram: rds-mysql muncul di kolom Tags untuk instans tersebut, menunjukkan bahwa tag berhasil ditambahkan.

    2. Buat kebijakan.

      1. Masuk ke RAM console.

      2. Di panel navigasi sebelah kiri, pilih Permissions > Policies.

      3. Klik Create Policy.

      4. Pilih tab visual editor atau tab Edit Script.

        Visual editor

        1. Tetapkan Effect ke Allow dan Services ke ApsaraDB RDS / RDS.

        2. Untuk Actions, pilih izin terkait Describe dari kategori Read. Anda dapat mencari "Describe" dan memilih semua izin terkait.

          Penting

          Jika isi kebijakan melebihi batas panjang karena Anda memilih terlalu banyak izin, Anda dapat submit a ticket untuk meminta peningkatan batas.

        3. Tetapkan Resources ke All Resources. Klik Add Condition, lalu tetapkan Condition Key, Operators, dan Condition Value.

          Catatan

          Pada parameter Condition, tetapkan Condition Key ke rds:ResourceTag dan Operators ke StringEquals. Untuk Condition Value, masukkan Tag Key dan Tag Value yang telah Anda tambahkan ke instans RDS di Langkah 1.

        Script editor

        Di jendela editor skrip, masukkan konten berikut:

        Catatan

        Pada skrip berikut, test-ram dan rds-mysql hanyalah contoh. Anda harus menggantinya dengan kunci tag dan nilai tag yang telah Anda ikatkan ke instans RDS di Langkah 1.

        {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "rds:Describe*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "rds:ResourceTag/test-ram": [
            "rds-mysql"
          ]
        }
      }
    }
  ]
}

      5. Klik OK. Di panel Create Policy, masukkan Policy Name dan Description. Pastikan isi kebijakan sudah benar, lalu klik OK.

    3. Lampirkan kebijakan kustom ke Pengguna RAM yang ditentukan.

      1. Di panel navigasi sebelah kiri, pilih Identities > User.

      2. Temukan pengguna target dan klik Add Permissions di kolom Actions.

      3. Untuk Grant Scope, tentukan resource group yang Anda buat untuk contoh ini. Lalu, di bagian Policies, pilih Custom Policy, cari dan pilih kebijakan yang telah Anda buat.

      4. Klik OK.

    4. Masuk ke konsol ApsaraDB RDS sebagai Pengguna RAM dan tampilkan instans tersebut.

      1. Sebagai Pengguna RAM, buka halaman Instances dan pilih Wilayah di bagian atas.

      2. Untuk menemukan instans yang ditandai, gunakan fitur Filter by Tag: Klik Filter by Tag, lalu pilih kunci tag test-ram dan nilai tag rds-mysql. Hasil filter hanya menampilkan instans RDS yang dapat diakses oleh Pengguna RAM.

    Konfigurasi selesai. Pengguna RAM kini memiliki izin read-only untuk instans RDS yang ditentukan. Anda dapat mengedit kebijakan untuk memberikan izin lain sesuai kebutuhan.