您可以通过访问控制RAM(Resource Access Management)将DAS的管理权限授权给子账号,细分账号权限,提升账号安全性。
通过系统权限策略授权子账号
通过自定义权限策略授权子账号
如果系统权限策略不能满足您的需求,您可以通过创建自定义权限策略实现精细化权限管理。
权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。权限策略是描述权限集的一种简单语言规范,RAM支持的语言规范请参见权限策略语法和结构。
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择 。
- 在用户页面,单击目标RAM用户操作列的添加权限。
- 在权限策略页面,单击创建权限策略。
- 在创建权限策略页面,单击脚本编辑页签。
- 输入权限策略内容,然后单击下一步。
说明 关于权限策略语法结构的详情,请参见权限策略语法和结构。
- 输入权限策略名称和备注。
- 检查并优化权限策略内容。
- 基础权限策略优化
系统会对您添加的权限策略语句自动进行基础优化。基础权限策略优化会完成以下任务:
- 删除不必要的条件。
- 删除不必要的数组。
- 可选:高级权限策略优化
您可以将鼠标悬浮在可选:高级策略优化上,单击执行,对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务:
- 拆分不兼容操作的资源或条件。
- 收缩资源到更小范围。
- 去重或合并语句。
- 基础权限策略优化
- 单击确定。
- 参照通过系统权限策略授权子账号,在添加权限时选择自定义权限策略,将自定义的权限策略授权给RAM用户。
常见的自定义权限策略
以RDS实例为例,设置单个实例的只读权限:
{
"Version": "1",
"Statement": [
{
"Action": [
"hdm:Get*",
"hdm:Describe*",
"hdm:Query*"
],
"Resource": "acs:rds:*:*:dbinstance/RDS实例ID",
"Effect": "Allow"
}
]
}
说明
- 实例ID请根据实际替换。
- 授权后,使用子账号登录DAS控制台时,系统会提示没有权限,请联系主账号管理员进行授权,此时请单击
关闭弹出的对话框,将
performance/instance/实例ID/detail
拼接到控制台URL之后,刷新页面后即可查看目标实例的详情页面。 - 您可以将DAS的权限策略添加到数据库产品的自定义权限策略中,实现对数据库产品控制台中DAS相关功能的控制。
对于不同的数据库实例,自定义权限策略中的
Resource
如下所示,请根据实际情况进行替换:
- RDS实例
"Resource": "acs:rds:*:*:dbinstance/RDS实例ID"
- Redis实例
"Resource": "acs:kvstore:*:*:*/Redis实例ID"
- MongoDB实例
"Resource": "acs:dds:*:*:dbinstance/MongoDB实例ID"
- PolarDB MySQL、PolarDB PostgreSQL和PolarDB O实例
"Resource": "acs:polardb:*:*:*/PolarDB集群ID"
- PolarDB-X 2.0实例
"Resource": "acs:polardbx:*:*:*/PolarDB-X 2.0实例ID"