読み取り専用権限を持つ RAM ユーザーにバックアップファイルのダウンロードを許可する - ApsaraDB RDS

このトピックでは、読み取り専用権限を持つ Resource Access Management (RAM) ユーザーにバックアップファイルのダウンロードを許可する方法について説明します。セキュリティ上の理由から、読み取り専用権限を持つ RAM ユーザーはバックアップファイルをダウンロードできません。

RAM ユーザー権限

高度なダウンロード機能の認証機能は、RAM のポリシー管理機能に基づいて提供されます。RAM ユーザーにポリシーをアタッチして、RAM ユーザーがダウンロード URL を取得できるようにすることができます。

高度なダウンロードタスクの作成やクエリなど、高度なダウンロード機能を使用できない場合は、使用している RAM ユーザーに AliyunDBSFullAccess ポリシーがアタッチされているかどうかを確認してください。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。
RAM ユーザーにデータディザスタリカバリを使用させたいが、高度なダウンロードの URL を取得することを禁止したい場合は、カスタムポリシーを作成して、RAM ユーザーが高度なダウンロードの URL を取得するための操作を呼び出すことを禁止できます。詳細については、「カスタムポリシーを作成する」をご参照ください。サンプルスクリプト:
```
{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "dbs:DescribeDownloadBackupsetStorageInfo",
            "Resource": "*"
        }
    ]
}
```
カスタムポリシーを作成した後、RAM ユーザーにポリシーをアタッチする必要があります。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。このようにして、RAM ユーザーは高度なダウンロードの URL を取得できません。

手順

Resource Access Management (RAM) コンソールにログオンします。
左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。

[ポリシーの作成] をクリックします。表示されたページで、[JSON] タブをクリックし、次のポリシーコンテンツを入力します。次に、[OK] をクリックします。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "rds:Describe*",
                "rds:ModifyBackupPolicy",
                "rds:CheckRegionSupportBackupEncryption"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "dbs:CreateDownload",
                "dbs:DescribeDBInstanceDownloadSize"
            ],
            "Resource": "*"
        }
    ],
    "Version": "1"
}

[ポリシーの作成] ダイアログボックスで、ポリシーの [名前] と [説明] を設定し、[OK] をクリックします。
左側のナビゲーションウィンドウで、[権限] > [権限の付与] を選択します。
[権限の付与] をクリックして、新しいポリシーを RAM ユーザーにアタッチします。詳細については、「方法 2: 権限の付与ページで RAM ユーザーに権限を付与する」をご参照ください。
[権限の付与] をクリックします。