DAS Agent跨帳號資料庫統一營運方案 - Database Autonomy Service

本指南旨在解決企業多雲資料庫管理分散的難題。通過阿里雲 RAM 角色扮演，我們示範了如何授權管理帳號利用 Qoder、OpenClaw 等 AI 工具及 DAS Agent，實現跨帳號資料庫的集中監控與營運。按此操作，您將建立起安全高效的統一營運體系。建議將本文本直接複製給qoder/claw等AI工具，由AI工具可以協助您完成配置。

一、業務情境與解決方案架構

1.1 業務情境描述

在現代企業架構中，通常存在以下需求：

集中管理： 希望使用一個統一管理帳號（下文稱A帳號）的憑證，來營運所有業務帳號（下文稱B帳號等）的資料庫資源。
智能營運： 期望利用DAS Agent對資料庫進行智能診斷和效能最佳化。
自動化報告： 希望通過DAS營運日報Skill自動產生跨帳號的資料庫營運報告。
安全合規： 避免在各個業務帳號中分散配置和暴露AK/SK，以提高整體安全性和管理效率。

1.2 解決方案架構

本方案的核心是利用阿里雲RAM角色扮演機制，實現安全的跨帳號臨時授權。

實現原理： 管理帳號（A帳號）中的一個專用RAM子帳號，通過調用STS的AssumeRole介面，“扮演”被管理帳號（B帳號）中預先設定的一個RAM角色。成功扮演後，它會獲得一個有時效性的臨時安全憑證（STS Token），該憑證擁有B帳號中那個RAM角色所具備的許可權，從而可以安全地調用B帳號下的RDS、DAS等API。
架構圖：

二、前置條件

參與方	要求的權限與資源
A帳號（管理帳號）	擁有建立和管理RAM子帳號的許可權。
B帳號（被管理帳號）	擁有建立和管理RAM角色的許可權。

重要

出於安全最佳實務，阿里雲不允許主帳號直接扮演RAM角色。因此，本方案中所有跨帳號操作都必須通過在A帳號下建立一個專用的RAM子帳號來執行。

三、詳細配置步驟

步驟 1：在A帳號建立專用的RAM子帳號

建立一個專門用於執行跨帳號操作的“操作員”身份，並為其授予扮演角色的許可權。

操作帳號： A帳號（管理帳號）
操作平台： RAM存取控制台

建立使用者：
- 進入 身份管理 > 使用者，單擊建立使用者。
- 登入名稱稱：rds-cross-account（建議）
- 顯示名稱：RDS Cross Account Operator
- 訪問配置：勾選使用永久 AccessKey 訪問。
- 建立後，立即下載或儲存產生的AccessKeyId和AccessKeySecret，此憑證僅顯示一次。
為子帳號授權：
- 找到剛建立的使用者rds-cross-account，單擊新增授權。
- 在系統策略中，搜尋並選擇 AliyunSTSAssumeRoleAccess 策略，該策略允許調用AssumeRole介面。
記錄關鍵資訊：
- 子帳號ARN： 格式為 acs:ram::<A帳號UID>:user/rds-cross-account。
- 子帳號AccessKeyId / AccessKeySecret。

步驟 2：在B帳號建立可被扮演的RAM角色

建立一個“受信代理”角色，明確聲明它信任來自A帳號的特定子帳號，並為其配置操作資料庫所需的許可權。

操作帳號： B帳號（被管理帳號）
操作平台： RAM存取控制台

建立角色：
- 進入身份管理 > 角色，單擊建立角色。
- 信任主體類型：選擇雲帳號。
- 信任主體名稱：其他雲帳號。
- 選擇雲帳號：填寫 A帳號的UID。
- 角色名稱：DASOperatorRole（建議，可自訂）。
配置信任策略：
- 角色建立後，進入其詳情頁，選擇信任策略 > 編輯信任策略。
- 將策略內容替換為以下JSON，精確指定信任A帳號下的rds-cross-account子帳號：
```
{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "RAM": [
          "acs:ram::<A帳號UID>:user/rds-cross-account"
        ]
      }
    }
  ],
  "Version": "1"
}
```
注意： 請將 <A帳號UID> 替換為真實的UID。
為角色授權：
- 在角色詳情頁，選擇許可權管理 > 新增授權 。
- 根據營運需求，按最小許可權原則授予策略。

推薦許可權組合	說明
唯讀診斷	`AliyunDASReadOnlyAccess`
完整管理	`AliyunDASFullAccess`

步驟 3：驗證角色扮演

確認前兩步的配置正確無誤，確保跨帳號的授權鏈路已經打通。

操作憑證： 使用A帳號子帳號的AK/SK。

您可以通過以下任一方式進行驗證。

使用阿里雲CLI驗證（推薦）

首先，配置CLI使用A帳號子帳號的憑證：

aliyun configure
# Access Key ID [None]: <A帳號子帳號的AccessKeyId>
# Access Key Secret [None]: <A帳號子帳號的AccessKeySecret>
# Default Region Id [None]: cn-hangzhou
# Default output format [json]: json

然後，調用AssumeRole介面擷取B帳號的臨時憑證：
```
aliyun sts AssumeRole \
  --RoleArn "acs:ram::<B帳號UID>:role/DASOperatorRole" \
  --RoleSessionName "RDSOpsTestSession"
```
如果成功，將返回包含AccessKeyId, AccessKeySecret 和 SecurityToken的JSON。

最後，使用擷取到的臨時憑證嘗試訪問B帳號的資源：

aliyun rds DescribeDBInstances \
  --RegionId cn-hangzhou \
  --access-key-id <臨時AccessKeyId> \
  --access-key-secret <臨時AccessKeySecret> \
  --security-token <臨時SecurityToken>

如果能成功列出B帳號下的RDS執行個體，則證明配置成功。

步驟 4：在AI工具中配置環境變數

將AK/SK和角色資訊以環境變數的形式注入AI工具（如Qoder/OpenClaw），使其具備跨帳號操作的能力。

配置A帳號（管理帳號）憑證

# A帳號子帳號的AK/SK，用於直接操作A帳號資源和發起角色扮演
ALIBABA_CLOUD_ACCESS_KEY_ID=<A帳號子帳號的AccessKeyId>
ALIBABA_CLOUD_ACCESS_KEY_SECRET=<A帳號子帳號的AccessKeySecret>
ALIBABA_CLOUD_REGION_ID=cn-hangzhou

配置B帳號（被管理帳號）的角色資訊

# B帳號的角色扮演配置，通常用於Skill或代碼內部調用
ALIYUN_B_ACCOUNT_UID=<B帳號UID>
ALIYUN_B_ROLE_ARN=acs:ram::<B帳號UID>:role/DASOperatorRole
ALIYUN_B_REGION_ID=cn-shanghai

配置更多帳號（可選）

如果需要管理C帳號、D帳號等，只需按相同格式添加環境變數即可：

# C帳號
ALIYUN_C_ACCOUNT_UID=<C帳號UID>
ALIYUN_C_ROLE_ARN=acs:ram::<C帳號UID>:role/DASOperatorRole
ALIYUN_C_REGION_ID=cn-beijing

步驟 5：配置並使用DAS Agent Skill

在AI工具中調用DAS Agent的智能診斷能力，並通過角色扮演指定目標帳號。

安裝Skill
在Qoder/OpenClaw的設定檔中，添加DAS Agent Skill：
```
skill: "alibabacloud-das-agent"
```

在代碼中調用（樣本）

Skill的底層實現會利用環境變數自動處理角色扮演。以下虛擬碼示範了其工作原理：

// Skill內部會讀取環境變數，並根據傳入的目標帳號資訊自動扮演角色
const dasAgent = new DASAgent({
  accessKeyId: process.env.ALIBABA_CLOUD_ACCESS_KEY_ID, // A帳號子帳號AK
  accessKeySecret: process.env.ALIBABA_CLOUD_ACCESS_KEY_SECRET, // A帳號子帳號SK
  roleArn: 'acs:ram::<B帳號UID>:role/DASOperatorRole', // 目標角色
  regionId: 'cn-shanghai'
});

// 使用者通過自然語言觸發診斷，Skill內部調用此方法
const report = await dasAgent.diagnose({
  instanceId: '<B帳號下的執行個體ID>',
  task: 'cpu_usage_analysis'
});

常見診斷任務樣本
您可以直接在AI工具的對話方塊中用自然語言發起診斷：
- "分析執行個體 a-instance-id 的CPU使用方式"
- "查看B帳號下執行個體 b-instance-id 最近1小時的慢查詢"
- "對C帳號的執行個體 c-instance-id 進行一次全面健全狀態檢查"

步驟 6：配置並使用DAS營運日報Skill

自動化產生單個或多個帳號下資料庫執行個體的營運日報。

調用方式（樣本）

營運日報功能通常整合在alibabacloud-das-agent Skill中。

const dasAgent = new DASAgent({ /* ...同上... */ });

// 擷取B帳號下指定執行個體的營運日報
const dailyReport = await dasAgent.getDailyReport({
  instanceId: '<B帳號下的執行個體ID>',
  date: '2026-04-30',
  reportType: 'full' // full | diagnostic | security
});

批量產生多帳號日報（樣本）

您可以編寫一個簡單的迴圈，遍曆所有配置的帳號，批量產生日報。

// 假設accounts是從環境變數中解析出的帳號列表
const accounts = [
  { uid: '<B帳號UID>', roleArn: 'acs:ram::<B帳號UID>:role/DASOperatorRole', region: 'cn-shanghai' },
  { uid: '<C帳號UID>', roleArn: 'acs:ram::<C帳號UID>:role/DASOperatorRole', region: 'cn-beijing' }
];

for(const account of accounts) {
  const dasAgent = new DASAgent({ /* ...配置... */ roleArn: account.roleArn, region: account.region });
  // ... 擷取執行個體列表並產生日報 ...
  console.log(`帳號 ${account.uid} 的日報已產生。`);
}

四、安全最佳實務

最小許可權原則： 僅為RAM角色授予完成工作所必需的最小許可權。優先使用ReadOnly策略。
臨時憑證管理： AssumeRole返回的憑證預設有效期間為1小時。切勿在代碼中寫入程式碼臨時憑證，應在每次需要時動態擷取。
AK/SK保護： 嚴禁在代碼中寫入程式碼任何AK/SK。應通過環境變數或Key Management Service（KMS）進行管理。定期輪換子帳號的AccessKey。
Action Trail： 在RAM控制台定期審查角色的調用日誌。在ActionTrail中審計AssumeRole的調用記錄，監控異常扮演行為。

五、常見問題

Q：調用AssumeRole時報錯 "Roles may not be assumed by root accounts"？
A：這是因為您使用了主帳號的AK/SK。解決方案： 必須使用已授權AliyunSTSAssumeRoleAccess的RAM子帳號的AK/SK來調用。
Q：扮演角色成功，但調用API時報錯 "User not authorized"？
A：這說明B帳號中的RAM角色許可權不足。解決方案： 登入B帳號，為DASOperatorRole角色添加所需的權限原則，如AliyunRDSReadOnlyAccess。
Q：如何在代碼中優雅地管理多個帳號的憑證？
A：建議建立一個憑證管理的封裝類或函數。該函數接收目標帳號的RoleArn作為輸入，內部負責調用AssumeRole並緩衝臨時憑證，直到其到期。這樣業務代碼只需關心調用哪個帳號，無需關心憑證細節。

六、總結

通過以上配置，您已經成功構建了一個安全、可擴充的跨帳號資料庫統一營運體系，實現了：

✅ 統一憑證管理： 僅需維護一個專用子帳號的AK/SK。
✅ 安全許可權隔離： 各業務帳號通過RAM角色精確授權，風險可控。
✅ 智能化營運整合： 在AI工具中無縫整合了DAS Agent的強大能力。
✅ 完整的審計追蹤： 所有跨帳號操作均有據可查。