Gunakan RAM untuk otorisasi sumber daya -

Anda dapat menggunakan Alibaba Cloud Resource Access Management (RAM) untuk memberikan izin kepada pengguna RAM dalam mengelola instance ApsaraDB RDS.

Deskripsi

Semua instance RDS yang dibuat dalam akun Alibaba Cloud Anda merupakan sumber daya yang dimiliki oleh akun tersebut. Secara default, Anda memiliki izin penuh untuk melakukan semua operasi pada sumber daya yang dimiliki oleh akun Alibaba Cloud Anda.

RAM memungkinkan Anda memberikan izin kepada pengguna RAM untuk mengakses dan mengelola sumber daya yang dimiliki oleh akun Alibaba Cloud Anda. Untuk informasi lebih lanjut, lihat Apa itu RAM?

Anda hanya dapat memberikan izin kepada pengguna RAM pada sumber daya dengan tipe dbinstance. Ini berarti otorisasi sumber daya berada pada tingkat instance. Bagian berikut menjelaskan cara menentukan sumber daya yang ingin Anda berikan izinnya.

Parameter permintaan

Tipe sumber daya

Deskripsi sumber daya dalam kebijakan izin

dbinstance

acs:rds:$regionid:$accountid:dbinstance/$dbinstanceid

acs:rds:$regionid:$accountid:dbinstance/

acs:rds:::dbinstance/

Tabel berikut menjelaskan parameter yang digunakan dalam deskripsi sumber daya.

Parameter	Deskripsi
`$regionid`	ID wilayah tempat instance berada. Anda dapat menetapkan parameter ini sebagai wildcard (`*`).
`$dbinstanceid`	Nama instance. Anda dapat menetapkan parameter ini sebagai wildcard (`*`).
`$accountid`	ID akun Alibaba Cloud Anda. Anda dapat menetapkan parameter ini sebagai wildcard (`*`).

Contoh

Catatan

Dalam contoh-contoh berikut, parameter Action menentukan izin yang ingin Anda berikan kepada pengguna RAM. Izin ini diwakili oleh operasi API. Sebagai contoh, operasi CreateBackup menunjukkan izin yang digunakan untuk membuat cadangan, dan operasi ModifyBackupPolicy menunjukkan izin yang digunakan untuk mengubah pengaturan cadangan. Anda harus memahami operasi yang disediakan oleh ApsaraDB RDS API agar dapat memberikan izin yang sesuai kepada pengguna RAM berdasarkan kebutuhan bisnis Anda. Untuk informasi lebih lanjut, lihat Daftar Operasi Berdasarkan Fungsi.
Untuk informasi lebih lanjut tentang pengaturan izin, lihat Struktur dan Sintaks Kebijakan.

Berikan izin kepada pengguna RAM untuk melihat semua instance RDS serta izin untuk membuat dan mengelola cadangan dari satu instance RDS. Selain itu, konfigurasikan izin ini agar kedaluwarsa pada 17 Agustus 2020.

{
    "Statement": [
        {
            "Action": [
                "rds:CreateBackup",
                "rds:ModifyBackupPolicy"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:rds:*:*:*/rm-bpxxxxxxx"
            ],
            "Condition": {
                "DateLessThan": {
                    "acs:CurrentTime": "2020-08-17T23:59:59+08:00"
                }
            }
        },
        {
            "Action": [
                "rds:Describe*"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:rds:*:*:*/*"
            ],
            "Condition": {
                "DateLessThan": {
                    "acs:CurrentTime": "2020-08-17T23:59:59+08:00"
                }
            }
        }
    ],
    "Version": "1"
}

Aturan otentikasi untuk ApsaraDB RDS API

Ketika pengguna RAM meminta akses ke instance menggunakan operasi API, ApsaraDB RDS berkomunikasi dengan RAM untuk memeriksa apakah pengguna RAM memiliki izin yang diperlukan. Izin yang perlu diperiksa bervariasi berdasarkan sumber daya yang diminta dan sintaks yang digunakan oleh operasi API yang dipanggil.