基于安全角度考虑,只读RAM账号无法下载备份文件,可以通过RAM控制台给只读RAM账号添加下载备份文件的权限。
RAM账号权限说明
高级下载功能的鉴权能力依赖于RAM的权限管理,您可以通过RAM为您的账号配置获取下载链接串的权限。
如果您无法正常使用高级下载功能(例如创建、查询高级下载任务),请检查您的RAM账号是否已添加AliyunDBSFullAccess权限。如何授权,请参见为RAM用户授权。
如果您需要为RAM账号授予DBS的使用权限,同时禁止该RAM账号获取高级下载的下载链接,您可以创建自定义权限策略禁止RAM账号调用获取下载链接串的接口,参考脚本如下:
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": "dbs:DescribeDownloadBackupsetStorageInfo", "Resource": "*" } ] }
自定义权限策略创建完成后,请将该自定义权限策略授权到您的RAM账号中。此时,您的RAM账号就会被禁止获取下载链接。
操作步骤
使用阿里云主账号登录RAM控制台。
在左侧导航栏选择
。单击创建权限策略,选中脚本编辑,并输入如下策略内容,单击确定。
{ "Statement": [ { "Effect": "Allow", "Action": [ "rds:Describe*", "rds:ModifyBackupPolicy", "rds:CheckRegionSupportBackupEncryption" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "dbs:CreateDownload", "dbs:DescribeDBInstanceDownloadSize" ], "Resource": "*" } ], "Version": "1" }
在创建权限策略弹窗,填写策略名称和备注,确认策略内容无误后,再次单击确定。
在左侧导航栏选择
。单击新增授权,给只读账号添加刚创建的权限策略,详情请参见在授权页面为RAM用户授权。
单击确认新增授权。