如果RAM提供的系统策略无法满足您的业务需求,您可以通过创建自定义策略对云原生数据库PolarDB进行精细化权限管理(例如资源或操作级别的授权)。
前提条件
背景信息
- 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件,详细的语言规范请参见权限策略语法和结构。
- 使用自定义策略对PolarDB进行精细化权限管理前,请先了解PolarDB的权限定义,详情请参见RAM资源授权。
说明 如果需要自定义各种权限类型组合或授予某些表级别权限等场景,您可以通过数据管理DMS推出的数据库账号权限管理功能进行灵活管控,详情请参见MySQL数据库账号权限管理。
步骤一:创建自定义权限策略
- 在新建自定义权限策略,配置自定义策略信息。
配置 说明 策略名称 建议填入具备业务意义的名称以便后续识别。 备注(可选) 填入该策略的备注信息。 配置模式 PolarDB仅支持脚本配置,此处选择为脚本配置。 策略内容 下拉选择系统已有的策略,将其导入至本策略中。 说明 本案例介绍自定义策略,此选项无需配置。策略编辑框 填入具体的权限策略信息,表格下方为您列出了一些常见的自定义权限策略供您参考。 说明- 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件,详细的语言规范请参见权限策略语法和结构。
- 当前支持资源(Resource)和操作(Action)级别的授权。
常见的自定义权限策略:
- 示例1:授权目标RAM用户管理2个指定的PolarDB集群。
假设您的账号下拥有多个PolarDB集群,但作为RAM管理员,您希望仅授权其中的2个集群(集群ID分别为i-001和i-002)给目标RAM用户,那么您可以创建如下权限策略:
{ "Statement": [ { "Action": "polardb:*", "Effect": "Allow", "Resource": [ "acs:polardb:*:*:dbinstance/i-001", "acs:polardb:*:*:dbinstance/i-002" ] }, { "Action": "polardb:Describe*", "Effect": "Allow", "Resource": "*" } ], "Version": "1" }说明- 被授予该权限策略的RAM用户号可以查看所有的集群及资源,但只能管理已被授权的2个集群(即集群i-001和集群i-002)。同时作为RAM管理员,您仍然可以使用API、CLI或SDK直接管理上述两个集群。
Describe*在权限策略中是必须的,否则被授权的RAM用户无法在控制台看到任何集群。
- 示例2:仅授权PolarDB的部分功能给目标RAM用户。
假设您希望仅授权PolarDB的部分功能给目标RAM用户,则可以创建如下权限策略:
{ "Statement": [ { "Action": [ "polardb:Describe*", "polardb:CreateBackup", "polardb:DeleteBackup", "polardb:ModifyDBClusterAccessWhitelist" ], "Resource": "*", "Effect": "Allow" } ], "Version": "1" }
步骤二:为RAM用户授权自定义策略
- 在权限策略管理页,找到目标自定义权限策略,单击权限策略名称。
