在您第一次使用DTS时,需要您将名称为AliyunDTSDefaultRole的默认角色授权给DTS使用。经过授权后,DTS可访问当前云账号下的RDS、ECS等云资源,在执行数据迁移、同步或订阅任务的配置时可调用相关云资源信息。

注意事项

如果使用主账号登录数据传输控制台后,没有弹出提示授权的对话框,说明当前主账号已执行过授权,可跳过本文的操作。

权限策略说明

AliyunDTSDefaultRole权限策略是DTS服务默认角色的授权策略,包含RDS、ECS、PolarDB、MongoDB、Redis、DRDS、DataHub、Elasticsearch等云资源的部分管理权限,具体权限定义如下。

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "rds:Describe*",
                "rds:CreateDBInstance",
                "rds:CreateAccount*",
                "rds:CreateDataBase*",
                "rds:ModifySecurityIps",
                "rds:GrantAccountPrivilege"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:DescribeInstances",
                "ecs:DescribeRegions",
                "ecs:AuthorizeSecurityGroup"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "dhs:ListProject",
                "dhs:GetProject",
                "dhs:CreateTopic",
                "dhs:ListTopic",
                "dhs:GetTopic",
                "dhs:UpdateTopic",
                "dhs:ListShard",
                "dhs:MergeShard",
                "dhs:SplitShard",
                "dhs:PutRecords",
                "dhs:GetRecords",
                "dhs:GetCursors"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "elasticsearch:DescribeInstance",
                "elasticsearch:ListInstance",
                "elasticsearch:UpdateAdminPwd",
                "elasticsearch:UpdatePublicNetwork",
                "elasticsearch:UpdateBlackIps",
                "elasticsearch:UpdateKibanaIps",
                "elasticsearch:UpdatePublicIps",
                "elasticsearch:UpdateWhiteIps"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "drds:DescribeDrds*",
                "drds:ModifyDrdsIpWhiteList",
                "drds:DescribeRegions",
                "drds:DescribeRdsList",
                "drds:CeateDrdsDB",
                "drds:DescribeShardDBs"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "polardb:DescribeDBClusterIPArrayList",
                "polardb:DescribeDBClusterNetInfo",
                "polardb:DescribeDBClusters",
                "polardb:DescribeRegions",
                "polardb:ModifySecurityIps"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "dds:DescribeDBInstanceAttribute",
                "dds:DescribeReplicaSetRole",
                "dds:DescribeSecurityIps",
                "dds:DescribeDBInstances",
                "dds:ModifySecurityIps",
                "dds:DescribeRegions"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "kvstore:DescribeSecurityIps",
                "kvstore:DescribeInstances",
                "kvstore:DescribeRegions",
                "kvstore:ModifySecurityIps"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "petadata:DescribeInstanceInfo",
                "petadata:DescribeSecurityIPs",
                "petadata:DescribeInstances",
                "petadata:ModifySecurityIPs"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

说明 更多关于权限策略的介绍,请参见权限策略语法和结构

主账号授权步骤

  1. 登录数据传输控制台
  2. 在弹出的提示对话框中,单击前往RAM角色授权
    DTS提示未授权
  3. 在弹出的云资源访问授权对话框中,单击同意授权
    授予DTS权限

子账号授权步骤

  1. 使用主账号登录RAM控制台
  2. 为子账号创建名为AliyunDTSDefaultRole的权限策略。
    说明 RAM暂不支持直接为子账号授权该策略,您需要手动创建该策略,然后给子账号授权。
    1. 在左侧导航栏的权限管理菜单下,单击权限策略管理
    2. 单击新建权限策略
    3. 配置自定义策略信息。
      新建自定义权限策略
      配置 说明
      策略名称 建议填入具备业务意义的名称以便后续识别。本案例中,填入AliyunDTSDefaultRole_自建
      备注(可选) 填入该策略的备注信息。
      配置模式 DTS仅支持脚本配置,此处选择为脚本配置
      策略内容 本案例介绍自定义策略,此选项无需配置。
      权限策略框 删除权限策略框中当前的内容,然后复制AliyunDTSDefaultRole的策略定义(详情请参见权限策略说明)并粘贴入权限策略框中。
    4. 单击确定
    5. 单击返回
  3. 为子账号授予访问云资源的权限。
    1. 在左侧导航栏的人员管理菜单下,单击用户
    2. 找到目标RAM用户,单击其操作列的添加权限
      添加授权
    3. 在弹出对话框中,选择权限为自定义权限策略
    4. 单击刚创建自定义权限策略名称(本案例为AliyunDTSDefaultRole_自建),将其添加到已选择区域框中。
      授权
    5. 单击确定
    6. 单击完成