DRDS控制台使用RAM

本文介绍如何在DRDS中使用RAM的账号体系及权限策略进行资源和权限控制。

使用限制

RAM子帐户删除数据库与删除只读账户需要开启MFA多因素认证，详情请参见为云账号设置多因素认证。
RAM子帐户没有修改DRDS数据库密码的权限。

在DRDS控制台使用RAM需要在RAM控制台进行如下操作：

创建RAM子账户，详情请参见创建用户。
创建授权策略，详情请参见创建自定义策略。
为RAM子账户授权，详情请参见为RAM用户授权。

在DRDS使用RAM账号系统前，请确保已经激活DRDS对RDS的访问授权，创建了供DRDS使用的RAM角色（role），详情请参见使用RAM的准备工作。

自定义策略示例

赋予某个子帐户对应的主账户所拥有的DRDS控制台操作权限：

{
  "Version": "1",
  "Statement": [
      {
          "//": "1234 是子帐号对应的主帐号的 uid",
          "Action": "drds:*",
          "Resource": "acs:drds:*:1234:instance/*",
          "Effect": "Allow"
      },
      {
          "//": "注意，为保证 RAM 功能的正常使用，请确保策略中存在下面这段",
          "Action": "ram:PassRole",
          "Resource": "*",
          "Effect": "Allow"
      }
  ]
}

指定用户只可以访问中国香港可用区下所有 DRDS 的权限：

{
  "Version": "1",
  "Statement": [
      {
          "//": "1234 是子帐号对应的主帐号的 uid",
          "Action": "drds:*",
          "Resource": "acs:drds:cn-hongkong:1234:instance/*",
          "Effect": "Allow"
      },
      {
          "//": "注意，为保证 RAM 功能的正常使用，请确保策略中存在下面这段",
          "Action": "ram:PassRole",
          "Resource": "*",
          "Effect": "Allow"
      }
  ]
}

指定用户无法访问特定的某个实例。被授予该策略的RAM子帐户可以访问除drds******hb4之外的所有 DRDS 实例。：

{
  "Version": "1",
  "Statement": [
      {
          "//": "1234 是子帐号对应的主帐号的 uid",
          "Action": "drds:*",
          "Resource": "acs:drds:*:1234:instance/*",
          "Effect": "Allow"
      },
      {
          "Action": "drds:*",
          "Resource": [
              "acs:drds:*:1234:instance/drds******hb4",
              "acs:drds:*:1234:instance/drds******hb4/*"
          ],
          "Effect": "Deny"
      },
      {
          "//": "注意，为保证 RAM 功能的正常使用，请确保策略中存在下面这段",
          "Action": "ram:PassRole",
          "Resource": "*",
          "Effect": "Allow"
      }
  ]
}