本ドキュメントでは、RAM にポリシーを作成して RAM ユーザーの RDS 権限を管理する方法について説明します。
共通ポリシー
次の表は、RDS 権限を管理するために RAM に作成できる共通ポリシーの一覧です。
ポリシー | 説明 |
---|---|
AliyunRDSFullAccess | RAM ユーザーに RDS インスタンスの完全管理権限を付与します。 |
AliyunRDSReadOnlyAccess | RAM ユーザーに RDS インスタンスに対する読み取り専用権限を付与します。 |
注 RDS 権限の詳細は、RAM の権限付与 をご参照ください。
RAM ユーザーへのカスタムポリシーのアタッチ
- 本文の「RDS 権限付与の例」に従ってカスタムポリシーを作成します。
詳細は、カスタマイズポリシーの作成 をご参照ください.
- 対象のポリシーを見つけてクリックします。
- リファレンスタブで、権限の付与 をクリックします
- プリンシパルフィールドに、対象 RAM ユーザーの ID または名前を入力します。
- OK をクリックします。
注 必要に応じて、RAM ユーザーまたは RAM ユーザーグループにポリシーをアタッチすることもできます。 詳細は、RAM での権限付与 をご参照ください.
RDS 権限付与の例
- 例 1:複数のインスタンスを持つ RAM 管理者として、ユーザーに 2 つのインスタンスのみを操作する権限を付与します。
これら 2 つの RDS インスタンスの ID は、i-001 と i-002 とします。
{ "Statement": [ { "Action": "rds:*", "Effect":"Allow", "Resource": [ "acs:rds:*:*:dbinstance/i-001", "acs:rds:*:*:dbinstance/i-002" ] }, { "Action": "rds:Describe*", "Effect":"Allow", "Resource": "*" } ], "Version": "1" }
注- 権限付与された RAM ユーザーはすべての RDS インスタンスを表示できますが、操作できるのはそのうちの 2 つのみです。
- ポリシーには
Describe*
要素が必要です。 ポリシーにDescribe*
要素が含まれていない場合、権限付与された RAM ユーザーはコンソールにインスタンスを表示できません。 ただし、RAM ユーザーは、API の呼び出し、CLI の使用、または RDS SDK の使用によって、指定された 2 つの RDS インスタンスを操作できます。
- 例 2:RAM 管理者として、ユーザーに Alibaba Cloud Data Management System(DMS)のデータにアクセスする権限を付与します。
- RAM ユーザーに 2 つの特定 RDS インスタンスへのアクセス権限を付与します。
{ "Statement": [ { "Action": "dms:LoginDatabase", "Effect": "Allow", "Resource": "acs:rds:*:*:dbinstance/rds783a0639ks5k7****" } ], "Version": "1" }
注rds783a0639ks5k7 ****
をアクセスする RDS インスタンスの ID に置き換える必要があります。 - RAM ユーザーにすべての RDS インスタンスへのアクセス権限を付与します。
{ "Statement": [ { "Action": "dms:LoginDatabase", "Effect":"Allow", "Resource": "acs:rds:*:*:*" } ], "Version": "1" }
- RAM ユーザーに 2 つの特定 RDS インスタンスへのアクセス権限を付与します。