如果RAM提供的系统策略无法满足您的业务需求,您可以通过创建自定义策略对PolarDB-X 1.0进行精细化权限管理。
前提条件
- 使用RAM服务前,请确保已经激活PolarDB-X 1.0对RDS的访问授权,详情请参见激活授权。
- RAM子账户删除数据库与删除只读账户前,需开启MFA多因素认证,详情请参见为阿里云账号启用多因素认证。
背景信息
使用限制
RAM子账户没有修改PolarDB-X 1.0数据库密码的权限。步骤一:创建自定义权限策略
- 在弹出的对话框中,配置自定义策略信息。
配置 说明 策略名称 建议填入具备业务意义的名称以便后续识别。 备注(可选) 填入该策略的备注信息。 配置模式 PolarDB-X 1.0仅支持脚本配置,此处选择为脚本配置。 策略内容 下拉选择系统已有的策略,将其导入至本策略中。 说明 本案例介绍自定义策略,此选项无需配置。权限策略框 填入具体的权限策略信息,表格下方为您列出了一些常见的自定义权限策略供您参考。 说明- 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件,详细的语言规范请参见权限策略语法和结构。
- 当前支持资源(Resource)和操作(Action)级别的授权。
常见的自定义权限策略:
说明- 请将下述代码中的
1234替换成RAM子账号所对应的主账号的uid。 - 请将下述代码中
目标实例ID的替换为真实的PolarDB-X 1.0实例ID。
- 允许目标RAM子账户操作PolarDB-X 1.0控制台。
{ "Version": "1", "Statement": [ { "Action": "drds:*", "Resource": "acs:drds:*:1234:instance/*", "Effect": "Allow" }, { "Action": "ram:PassRole", "Resource": "*", "Effect": "Allow" } ] } -
仅允许目标RAM子账号访问华东1(杭州)地域下的所有PolarDB-X 1.0实例。
{ "Version": "1", "Statement": [ { "Action": "drds:*", "Resource": "acs:drds:cn-hangzhou:1234:instance/*", "Effect": "Allow" }, { "Action": "ram:PassRole", "Resource": "*", "Effect": "Allow" } ] } - 不允许目标RAM子账号访问特定实例。
{ "Version": "1", "Statement": [ { "Action": "drds:*", "Resource": "acs:drds:*:1234:instance/*", "Effect": "Allow" }, { "Action": "drds:*", "Resource": [ "acs:drds:*:1234:instance/目标实例ID", ], "Effect": "Deny" }, { "Action": "ram:PassRole", "Resource": "*", "Effect": "Allow" } ] }说明 被授予该策略的RAM子账户可以访问主账号下除目标实例ID之外的所有PolarDB-X 1.0实例。
步骤二:为RAM用户授权自定义策略
- 在权限策略管理页,找到目标自定义权限策略,单击权限策略名称。
