您可以通过为RAM用户配置RAM权限策略,限制该用户对RDS实例进行相关操作。
功能介绍
为提高RDS实例安全性,阿里云提供了RAM权限策略。您可以通过配置权限策略,实现多个场景。更多信息,请参见RDS权限策略总表。
说明 如需了解RAM权限策略的更多信息,请参见权限策略概览。
操作步骤
RDS权限策略总表
限制项 | 权限策略名称 | 代码 | 说明 |
---|---|---|---|
实例创建 | CreateRdsWithNonDiskEncryptionForbidden |
|
防止目标用户创建磁盘没有加密的RDS实例。
说明 本功能当前仅适用于新建主实例,除此之外的所有场景下(例如创建只读实例、恢复数据到新实例),本功能不会生效。
|
CreateRdsWithNonVPCNetworkTypeForbidden |
|
防止目标用户创建网络类型为非专有网络VPC的RDS实例。
说明 本功能当前仅适用于新建主实例,除此之外的所有场景下(例如创建只读实例、恢复数据到新实例),本功能不会生效。
|
|
网络配置 | DatabaseConnectionNonVPCNetworkTypeForbidden |
|
防止目标用户切换RDS实例的网络类型为经典网络。 |
安全配置 | DataSecuritySSLDisabledForbidden |
|
防止目标用户关闭RDS实例的SSL加密。 |
DataSecurityTDEDisabledForbidden |
|
防止目标用户关闭RDS实例的透明数据加密TDE。 | |
数据库代理配置 | DatabaseProxyWithNonVPCNetworkTypeForbidden |
|
防止目标用户在开启RDS实例的数据库代理服务时,指定网络地址类型为外网。 |
DatabaseProxyCreateEndpointAddressWithNonVPCNetworkTypeForbidden |
|
防止目标用户在创建RDS实例的数据库代理连接地址时,指定网络地址类型为外网。 | |
DatabaseProxyModifyEndpointAddressWithNonVPCNetworkTypeForbidden |
|
防止目标用户在修改RDS实例的数据库代理连接地址时,指定网络地址类型为外网。 | |
DatabaseProxyDbProxyInstanceSslDisabledForbidden |
|
防止目标用户关闭RDS实例的数据库代理SSL加密功能。 | |
备份相关配置 | BackupAndRestorationCrossBackupDisabledForbidden |
|
防止目标用户关闭RDS实例的跨地域备份功能。 |
BackupAndRestorationBackupPolicyDisabledForbidden |
|
防止目标用户关闭RDS实例的日志备份功能。 | |
历史事件 | EventCenterActionEventEnableEventLogForbidden |
|
防止目标用户开启RDS实例的历史事件功能。 |