通過RAM權限原則限制RAM使用者權限
您可以通過為RAM使用者配置RAM權限原則,限制該使用者對RDS執行個體進行相關操作。
功能介紹
為提高RDS執行個體安全性,阿里雲提供了RAM權限原則。您可以通過配置權限原則,實現多個情境。更多資訊,請參見RDS權限原則總表。
如需瞭解RAM權限原則的更多資訊,請參見權限原則概覽。
操作步驟
-
登入RAM控制台。
在左側導覽列,選擇。
-
在权限策略頁面,單擊创建权限策略。
-
單擊指令碼編輯頁簽,在代碼框中輸入權限原則指令碼,單擊確定。
-
在彈出的對話方塊中,填寫策略名称和備忘說明,確認策略內容無誤後,再次單擊確定。
說明您也可以自訂權限原則的名稱。名稱格式要求如下:
-
需包含1~128個字元。
-
可包含英文字母、數字和短劃線(-)。
-
-
在左側導覽列,選擇,單擊新增授权,為目標RAM使用者授權。
-
選擇資源範圍。
-
帳號層級:許可權在當前阿里雲帳號內生效。
-
資源群組層級:許可權在指定的資源群組內生效。
說明指定資源群組授權生效的前提是該雲端服務已支援資源群組。更多資訊,請參見支援資源群組的雲端服務。
-
-
選擇授权主体。
說明授权主体即需要授權的RAM使用者,您可以在搜尋方塊中輸入RAM使用者名稱進行模糊搜尋,快速找到目標RAM使用者。
-
在权限策略下方選擇自定义策略。
-
在權限原則列表中找到步驟4中建立的權限原則名稱,單擊確認新增授權。
說明您可以在權限原則列表上方的搜尋方塊中輸入權限原則的名稱進行模糊搜尋,快速找到目標權限原則。
-
RDS權限原則總表
|
限制項 |
權限原則名稱 |
代碼 |
說明 |
|
執行個體建立 |
CreateRdsWithNonDiskEncryptionForbidden |
|
防止目標使用者建立磁碟沒有加密的RDS執行個體。 說明
本功能當前僅適用於建立主執行個體,除此之外的所有情境下(例如建立唯讀執行個體、恢複資料到新執行個體),本功能不會生效。 |
|
CreateRdsWithNonVPCNetworkTypeForbidden |
|
防止目標使用者建立網路類型為非Virtual Private Cloud的RDS執行個體。 說明
本功能當前僅適用於建立主執行個體,除此之外的所有情境下(例如建立唯讀執行個體、恢複資料到新執行個體),本功能不會生效。 |
|
|
網路設定 |
DatabaseConnectionNonVPCNetworkTypeForbidden |
|
防止目標使用者切換RDS執行個體的網路類型為傳統網路。 |
|
安全配置 |
DataSecuritySSLDisabledForbidden |
|
防止目標使用者關閉RDS執行個體的SSL加密。 |
|
DataSecurityTDEDisabledForbidden |
|
防止目標使用者關閉RDS執行個體的透明資料加密TDE。 |
|
|
資料庫代理配置 |
DatabaseProxyWithNonVPCNetworkTypeForbidden |
|
防止目標使用者在開啟RDS執行個體的資料庫代理服務時,指定網路地址類型為外網。 |
|
DatabaseProxyCreateEndpointAddressWithNonVPCNetworkTypeForbidden |
|
防止目標使用者在建立RDS執行個體的資料庫代理串連地址時,指定網路地址類型為外網。 |
|
|
DatabaseProxyModifyEndpointAddressWithNonVPCNetworkTypeForbidden |
|
防止目標使用者在修改RDS執行個體的資料庫代理串連地址時,指定網路地址類型為外網。 |
|
|
DatabaseProxyDbProxyInstanceSslDisabledForbidden |
|
防止目標使用者關閉RDS執行個體的資料庫代理SSL加密功能。 |
|
|
備份相關配置 |
BackupAndRestorationCrossBackupDisabledForbidden |
|
防止目標使用者關閉RDS執行個體的跨地區備份功能。 |
|
BackupAndRestorationBackupPolicyDisabledForbidden |
|
防止目標使用者關閉RDS執行個體的記錄備份功能。 |
|
|
歷史事件 |
EventCenterActionEventEnableEventLogForbidden |
|
防止目標使用者開啟RDS執行個體的歷史事件功能。 |