全部產品
Search

搜尋本產品

    Data Transmission Service:跨阿里雲帳號傳輸專用網路下的自建資料庫時如何配置RAM授權

    文件中心

    Data Transmission Service:跨阿里雲帳號傳輸專用網路下的自建資料庫時如何配置RAM授權

    更新時間:Mar 18, 2025

    通過本文介紹的方法配置RAM授權後,DTS可以在配置資料移轉或同步時讀取其他阿里雲帳號下的專用網路,您可以將其他阿里雲帳號下通過專線接入的自建資料庫遷移或同步至當前雲帳號下的雲資料庫中。

    前提條件

    • 專線所屬的阿里雲帳號已經授權DTS的RAM角色訪問其雲資源,詳情請參見授予DTS訪問雲資源的許可權

    • 分別使用源庫和目標庫所屬的阿里雲帳號(主帳號),訪問安全設定頁面,擷取帳號ID

    背景資訊

    本地IDC或第三方雲已通過專線、VPN網關或Smart Access Gateway接入至阿里雲,現在需要將本地IDC或第三方雲中的自建資料庫通過專用網路傳輸至其他阿里雲帳號下的雲資料庫中。

    重要

    在使用DTS跨阿里雲帳號傳輸專用網路下的自建資料庫之前,您需要在專線所屬的阿里雲帳號中配置RAM授權,同時將目標執行個體所屬的雲帳號(主帳號)設定為授信雲帳號,然後授權其訪問專線所屬的阿里雲帳號相關雲資源。

    背景資訊

    注意事項

    專用網路下(接入方式專線/VPN網關/智能網關)的自建資料庫作為源庫時支援跨阿里雲帳號,作為目標庫時不支援。支援的資料庫,請參見支援的資料庫

    步驟一:建立RAM角色並授予其DTS預設角色許可權

    1. 使用專線(源庫)所屬的阿里雲帳號(主帳號)登入RAM控制台

      重要

      若使用RAM使用者(子帳號),則可能會在建立DTS任務時提示授權不正確。

    2. 在左側導覽列,選擇身份管理 > 角色

      身份管理-角色-new-zh.jpg

      重要

      請勿選擇為身份管理 > 使用者,否則DTS將無法訪問資料庫執行個體並報錯。

    3. 角色頁面,單擊建立角色

      image

    4. 建立角色面板,配置RAM角色資訊。

      1. 信任主體類型選擇為雲帳號

        1-1

      2. 信任主體名稱選擇為其他雲帳號,並在文字框填入源庫庫所屬阿里雲帳號(主帳號)的ID。

        2-1

      3. 在頁面下方,單擊確定

      4. 建立角色面板,填入RAM角色名稱單擊確定

        本樣本填入ram-for-dts

        3-1

    5. 許可權管理頁簽,單擊精確授權

      image

    6. 精確授權面板,為RAM角色精確授權。

      1. 策略類型選擇為系統策略

        4-1

      2. 策略名稱稱文字框,填入AliyunDTSRolePolicy

      3. 單擊確定

        您可以在許可權管理頁簽中的右側,單擊image按鈕以重新整理頁面,查看是否精確授權成功。

    步驟二:授權RAM角色訪問阿里雲帳號下的專用網路

    1. 使用專線(源庫)所屬的阿里雲帳號(主帳號)登入RAM控制台

      重要

      若使用RAM使用者(子帳號),則可能會在建立DTS任務時提示授權不正確。

    2. 在左側導覽列,選擇身份管理 > 角色

      身份管理-角色-new-zh.jpg

      重要

      請勿選擇為身份管理 > 使用者,否則DTS將無法訪問資料庫執行個體並報錯。

    3. 找到在步驟一中建立的RAM角色,單擊對應的RAM角色名稱。

    4. 為RAM角色新增授權。

      1. 許可權管理頁簽,單擊新增授權

      2. 新增授權面板,配置授權資訊。

        1. 選擇資源範圍。

          本樣本選擇帳號層級。更多資訊,請參見為RAM角色授權

        2. 權限原則地區的下拉框中,將策略類型選擇許可權為系統策略

        3. 選擇權限原則。

          在搜尋方塊中填入AliyunVPCReadOnlyAccess進行搜尋,然後單擊該策略名稱稱將其移動至已選擇權限原則地區框。

        4. 單擊確認新增授權

      3. 授權成功後,單擊關閉

    5. 修改RAM角色的信任策略。

      1. 單擊信任策略頁簽。

        image

      2. 信任策略頁簽,單擊編輯信任策略

      3. 指令碼編輯頁簽,使用下述代碼替換策略框中的代碼。

        {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::<阿里雲帳號ID>:root"
                ],
                "Service": [
                    "<阿里雲帳號ID>@dts.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}

      4. 將代碼中兩個<阿里雲帳號ID>替換為目標庫所屬阿里雲帳號(主帳號)的ID。

      5. 單擊確定,儲存信任策略。

        若儲存信任策略後,代碼中Service部分的 "<阿里雲帳號ID>@dts.aliyuncs.com"自動變更為"dts.aliyuncs.com",則表示<阿里雲帳號ID>配置錯誤。

        說明

        登入RAM控制台和信任策略中替換的阿里雲帳號,請參見帳號資訊

    步驟三:配置DTS任務

    說明

    本操作以同步任務為例,介紹DTS跨阿里雲帳號任務的配置步驟。

    1. 使用目標庫所屬的阿里雲帳號(主帳號),進入源庫及目標庫配置頁面。

      1. 進入目標地區的同步工作清單頁面(二選一)。

        通過DTS控制台進入

        1. 登入Data Transmission Service控制台

        2. 在左側導覽列,單擊資料同步

        3. 在頁面左上方,選擇同步執行個體所屬地區。

        通過DMS控制台進入

        說明

        實際操作可能會因DMS的模式和布局不同,而有所差異。更多資訊,請參見極簡模式控制台自訂DMS介面布局與樣式

        1. 登入Data Management服務

        2. 在頂部功能表列中,選擇Data + AI > 資料轉送(DTS) > 資料同步

        3. 同步任務右側,選擇同步執行個體所屬地區。

      2. 單擊創建任務,進入任務配置頁面。

    2. 配置源庫資訊。

      主要參數的配置方法,如下表所示:

      配置

      說明

      選擇已有串連資訊

      本樣本無需配置。

      資料庫類型

      根據實際情況選擇。

      接入方式

      選擇專線/VPN網關/智能網關

      執行個體地區

      根據實際情況選擇。

      是否跨阿里雲帳號

      選擇跨帳號

      跨阿里雲帳號

      填入源庫所屬阿里雲帳號(主帳號)的ID。

      跨阿里雲帳號角色名稱

      填入使用源庫所屬的阿里雲帳號(主帳號)建立的RAM角色名稱(即步驟一中建立的RAM角色名稱)。

      已和源端資料庫聯通的VPC

      根據實際情況選擇。

      說明

      若選擇時報錯,解決方案請參見常見報錯

    3. 根據實際情況,參考相關配置文檔,完成其他及後續配置。