Bagaimana cara mengonfigurasi kebijakan RAM untuk pengguna RAM? - ApsaraDB RDS

Topik ini menjelaskan cara melampirkan kebijakan Resource Access Management (RAM) kepada pengguna RAM untuk mengelola izin pengguna RAM pada instance ApsaraDB RDS.

Pengenalan

Alibaba Cloud memungkinkan Anda menggunakan kebijakan RAM untuk meningkatkan keamanan instance RDS. Anda dapat memberikan izin berbeda kepada pengguna RAM pada instance RDS dengan kebijakan RAM. Untuk informasi lebih lanjut, lihat Kebijakan RAM untuk ApsaraDB RDS.

Catatan

Untuk informasi lebih lanjut tentang kebijakan RAM, lihat Ikhtisar Kebijakan.

Prosedur

Masuk ke Konsol RAM.
Di panel navigasi sebelah kiri, pilih Permissions > Policies.
Di halaman Policies, klik Create Policy.
Pada tab JSON dari halaman yang muncul, masukkan isi kebijakan dan klik OK.
Catatan
- Anda dapat menemukan skrip kebijakan RAM di kolom Kode dalam bagian "Kebijakan RAM untuk ApsaraDB RDS" dari topik ini.
- Untuk informasi lebih lanjut tentang sintaks dan struktur kebijakan RAM, lihat Struktur dan sintaks kebijakan.
Di kotak dialog Create Policy, konfigurasikan parameter Name dan Description . Kemudian, konfirmasikan informasi dan klik OK.
Catatan
Anda juga dapat menyesuaikan nama kebijakan RAM. Nama kebijakan RAM harus memenuhi persyaratan berikut:
- Nama harus memiliki panjang 1 hingga 128 karakter.
- Nama dapat berisi huruf, angka, dan tanda hubung (-).
Di panel navigasi sebelah kiri, pilih Permissions > Grants. Di halaman yang muncul, klik Grant Permission untuk memberikan izin kepada pengguna RAM yang diperlukan.
1. Konfigurasikan parameter Resource Scope.
  - Account: Izin berlaku untuk semua sumber daya dalam akun Alibaba Cloud saat ini.
  - ResourceGroup: Izin berlaku untuk sumber daya dalam grup sumber daya.
    Catatan
    Jika Anda ingin memilih opsi Grup Sumber Daya Spesifik, pastikan bahwa ApsaraDB RDS mendukung grup sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang bekerja dengan Grup Sumber Daya.
2. Konfigurasikan parameter Principal.
  Catatan
  Parameter Principal menentukan pengguna RAM yang ingin Anda lampirkan kebijakan RAM. Anda dapat memasukkan sebagian nama pengguna untuk melakukan pencocokan kabur guna mencari pengguna RAM.
3. Di bagian Policy, pilih Custom Policy dari daftar drop-down.
4. Pilih kebijakan RAM yang Anda buat di Langkah 4. Lalu, klik OK.
  Catatan
  Anda dapat memasukkan sebagian nama kebijakan RAM di kotak pencarian di atas daftar kebijakan RAM untuk melakukan pencocokan kabur guna mencari kebijakan RAM.

Kebijakan RAM untuk ApsaraDB RDS

Item	Kebijakan	Kode	Deskripsi
Pembuatan Instance	CreateRdsWithNonDiskEncryptionForbidden	Klik untuk memperluas `{ "Statement": [ { "Action": [ "rds:CreateDBInstance", "rds:PreCheckCreateOrder", "rds:CreateOrder" ], "Effect": "Deny", "Resource": "*", "Condition": { "Bool": { "rds:DiskEncryptionRequired": "false" } } } ], "Version": "1" }`	Kebijakan ini digunakan untuk mencegah pengguna membuat instance RDS yang tidak menggunakan disk terenkripsi. Catatan Kebijakan ini hanya berlaku ketika pengguna membuat instance RDS utama. Kebijakan ini tidak berlaku ketika pengguna membuat instance RDS baca-saja atau memulihkan data ke instance RDS baru.
Pembuatan Instance	CreateRdsWithNonVPCNetworkTypeForbidden	Klik untuk memperluas `{ "Statement": [ { "Action": [ "rds:CreateDBInstance", "rds:PreCheckCreateOrder", "rds:CreateOrder" ], "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "rds:InstanceNetworkType": "VPC" } } } ], "Version": "1" }`	Kebijakan ini digunakan untuk mencegah pengguna membuat instance RDS yang jenis jaringannya bukan Virtual Private Cloud (VPC). Catatan Kebijakan ini hanya berlaku ketika pengguna membuat instance RDS utama. Kebijakan ini tidak berlaku ketika pengguna membuat instance RDS baca-saja atau memulihkan data ke instance RDS baru.
Konfigurasi Jaringan	DatabaseConnectionNonVPCNetworkTypeForbidden	Klik untuk memperluas `{ "Statement": [ { "Action": "rds:ModifyDBInstanceNetworkType", "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "rds:InstanceNetworkType": "VPC" } } } ], "Version": "1" }`	Kebijakan ini digunakan untuk mencegah pengguna mengubah jenis jaringan instance RDS menjadi jaringan klasik.
Konfigurasi Keamanan	DataSecuritySSLDisabledForbidden	Klik untuk memperluas `{ "Statement": [ { "Action": "rds:ModifyDBInstanceSSL", "Effect": "Deny", "Resource": "*", "Condition": { "StringEquals": { "rds:SSLEnabled": "0" } } } ], "Version": "1" }`	Kebijakan ini digunakan untuk mencegah pengguna menonaktifkan enkripsi SSL untuk instance RDS.
Konfigurasi Keamanan	DataSecurityTDEDisabledForbidden	Klik untuk memperluas `{ "Statement": [ { "Action": "rds:ModifyDBInstanceTDE", "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "rds:TDEStatus": "Enabled" } } } ], "Version": "1" }`	Kebijakan ini digunakan untuk mencegah pengguna menonaktifkan Transparent Data Encryption (TDE) untuk instance RDS.
Konfigurasi Proksi Database	DatabaseProxyWithNonVPCNetworkTypeForbidden	Klik untuk memperluas `{ "Statement": [ { "Action": "rds:ModifyDBProxy", "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "rds:InstanceNetworkType": "VPC" } } } ], "Version": "1" }`	Kebijakan ini digunakan untuk mencegah pengguna menentukan endpoint publik ketika pengguna mengaktifkan fitur proksi database untuk instance RDS.
	DatabaseProxyCreateEndpointAddressWithNonVPCNetworkTypeForbidden	Klik untuk memperluas `{ "Statement": [ { "Action": "rds:ModifyDBProxy", "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "rds:InstanceNetworkType": "VPC" } } } ], "Version": "1" }`	Kebijakan ini digunakan untuk mencegah pengguna menentukan endpoint publik ketika pengguna membuat endpoint untuk terhubung ke proksi database instance RDS.
	DatabaseProxyModifyEndpointAddressWithNonVPCNetworkTypeForbidden	Klik untuk memperluas `{ "Statement": [ { "Action": "rds:ModifyDBProxyEndpointAddress", "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "rds:DBProxyConnectStringNetType": "VPC" } } } ], "Version": "1" }`	Kebijakan ini digunakan untuk mencegah pengguna menentukan endpoint publik ketika pengguna memodifikasi endpoint yang digunakan untuk terhubung ke proksi database instance RDS.
	DatabaseProxyDbProxyInstanceSslDisabledForbidden	Klik untuk memperluas `{ "Statement": [ { "Action": "rds:ModifyDbProxyInstanceSsl", "Effect": "Deny", "Resource": "*", "Condition": { "StringEquals": { "rds:DbProxySslEnabled": "0" } } } ], "Version": "1" }`	Kebijakan ini digunakan untuk mencegah pengguna menonaktifkan enkripsi SSL untuk endpoint tertentu dari proksi database instance RDS.
Konfigurasi Cadangan	BackupAndRestorationCrossBackupDisabledForbidden	Klik untuk memperluas `{ "Statement": [ { "Action": "rds:ModifyInstanceCrossBackupPolicy", "Effect": "Deny", "Resource": "", "Condition": { "StringNotEquals": { "rds:BackupEnabled": "1" } } }, { "Action": "rds:ModifyInstanceCrossBackupPolicy", "Effect": "Deny", "Resource": "", "Condition": { "StringNotEquals": { "rds:LogBackupEnabled": "1" } } } ], "Version": "1" }`	Kebijakan ini digunakan untuk mencegah pengguna menonaktifkan fitur cadangan lintas wilayah untuk instance RDS.
Konfigurasi Cadangan	BackupAndRestorationBackupPolicyDisabledForbidden	Klik untuk memperluas `{ "Statement": [ { "Action": "rds:ModifyBackupPolicy", "Effect": "Deny", "Resource": "", "Condition": { "StringEquals": { "rds:EnableBackupLog": "0" } } }, { "Action": "rds:ModifyBackupPolicy", "Effect": "Deny", "Resource": "", "Condition": { "StringEquals": { "rds:BackupLog": "Disabled" } } } ], "Version": "1" }`	Kebijakan ini digunakan untuk mencegah pengguna menonaktifkan fitur cadangan log untuk instance RDS.
Riwayat Peristiwa	EventCenterActionEventEnableEventLogForbidden	Klik untuk memperluas `{ "Statement": [ { "Action": "rds:ModifyActionEventPolicy", "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "rds:EnableEventLog": "False" } } } ], "Version": "1" }`	Kebijakan ini digunakan untuk mencegah pengguna mengaktifkan fitur riwayat peristiwa untuk instance RDS.