如果系統權限原則不能滿足您的要求,您可以建立自訂權限原則實現最小授權。使用自訂權限原則有助於實現許可權的精細化管控,是提升資源訪問安全的有效手段。本文介紹Data Management使用自訂權限原則的情境和策略樣本。
什麼是自訂權限原則
在基於RAM的存取控制體系中,自訂權限原則是指在系統權限原則之外,您可以自主建立、更新和刪除的權限原則。自訂權限原則的版本更新需由您來維護。
建立自訂權限原則後,需為RAM使用者、使用者組或RAM角色綁定權限原則,這些RAM身份才能獲得權限原則中指定的存取權限。
已建立的權限原則支援刪除,但刪除前需確保該策略未被引用。如果該權限原則已被引用,您需要在該權限原則的引用記錄中移除授權。
自訂權限原則支援版本控制,您可以按照RAM規定的版本管理機制來管理您建立的自訂權限原則版本。
操作文檔
常見自訂權限原則情境及樣本
樣本:為RAM使用者授予通過DMS登入RDS執行個體的許可權
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": ["dms:LoginDatabase"],
"Resource": ["acs:rds:*:*:dbinstance/[$RDS_ID]"]
}
]
}說明
[$RDS_ID]指RDS執行個體的ID。
授予RAM使用者登入帳號下所有RDS執行個體的許可權。
您需要在RAM控制台為RAM使用者授予
AliyunRDSFullAccess許可權,或建立如下授權策略,並為RAM使用者授權。為RAM使用者授權的具體操作,請參見為RAM使用者授權。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": ["dms:LoginDatabase"], "Resource": ["acs:rds:*:*:*"] } ] }
常見問題
Q:同一個使用者通過SSO不同訪問配置登入DMS後,資料資產許可權會自動同步嗎?
A:不會自動同步資料資產許可權,DMS資料資產許可權獨立於ram許可權配置,SSO不同訪問配置登入後,需重新授權,如需設定資料owner,也需要重新調整設定(注意資料owner支援設定上限3個DMS內使用者)。
授權資訊參考
使用自訂權限原則,您需要瞭解業務的許可權管控需求,並瞭解Data Management的授權資訊。詳細內容請參見授權資訊。