本文介绍如何在DRDS中使用RAM的账号体系及权限策略进行资源和权限控制。
使用限制
- RAM子帐户删除数据库与删除只读账户需要开启MFA多因素认证,详情请参见为云账号设置多因素认证。
- RAM子帐户没有修改DRDS数据库密码的权限。
DRDS控制台使用RAM
在DRDS控制台使用RAM需要在RAM控制台进行如下操作:
- 创建RAM子账户,详情请参见创建用户。
- 创建授权策略,详情请参见创建自定义策略。
- 为RAM子账户授权,详情请参见为RAM用户授权。
在DRDS使用RAM账号系统前,请确保已经激活DRDS对RDS的访问授权,创建了供DRDS使用的RAM角色(role),详情请参见使用RAM的准备工作。
自定义策略示例
- 赋予某个子帐户对应的主账户所拥有的DRDS控制台操作权限:
{
"Version": "1",
"Statement": [
{
"//": "1234 是子帐号对应的主帐号的 uid",
"Action": "drds:*",
"Resource": "acs:drds:*:1234:instance/*",
"Effect": "Allow"
},
{
"//": "注意,为保证 RAM 功能的正常使用,请确保策略中存在下面这段",
"Action": "ram:PassRole",
"Resource": "*",
"Effect": "Allow"
}
]
}
- 指定用户只可以访问中国香港可用区下所有 DRDS 的权限:
{
"Version": "1",
"Statement": [
{
"//": "1234 是子帐号对应的主帐号的 uid",
"Action": "drds:*",
"Resource": "acs:drds:cn-hongkong:1234:instance/*",
"Effect": "Allow"
},
{
"//": "注意,为保证 RAM 功能的正常使用,请确保策略中存在下面这段",
"Action": "ram:PassRole",
"Resource": "*",
"Effect": "Allow"
}
]
}
- 指定用户无法访问特定的某个实例。被授予该策略的RAM子帐户可以访问除
drds******hb4
之外的所有 DRDS 实例。:{
"Version": "1",
"Statement": [
{
"//": "1234 是子帐号对应的主帐号的 uid",
"Action": "drds:*",
"Resource": "acs:drds:*:1234:instance/*",
"Effect": "Allow"
},
{
"Action": "drds:*",
"Resource": [
"acs:drds:*:1234:instance/drds******hb4",
"acs:drds:*:1234:instance/drds******hb4/*"
],
"Effect": "Deny"
},
{
"//": "注意,为保证 RAM 功能的正常使用,请确保策略中存在下面这段",
"Action": "ram:PassRole",
"Resource": "*",
"Effect": "Allow"
}
]
}