AnalyticDB for MySQL 2.0支持通过阿里云访问控制（RAM）创建的子账号登录数据库并管理子账号在不同条件下是否有使用数据库的权限。

子账号权限管理方式

阿里云账号可以新建多个子账号，AnalyticDB for MySQL 2.0支持通过以下两种方式管理子账号：

• 数据库创建者可以把子账号当作普通用户，通过授权ACL权限体系来访问数据库（推荐这种方式）。

• 在RAM的控制台中通过授予对应的授权策略，使子账号在一定条件下可以访问数据库。

通过ACL对子账号进行管理

推荐通过这种方式管理子账号，可以把子账号当作普通用户对其授予相应ACL权限，详情请参考使用DMS进行权限管理。

使用授权策略对子账号进行管理

RAM中支持的AnalyticDB for MySQL 2.0授权策略只有AliyunAnalyticDBFullAccess，当前没有集成为系统策略，需要用户添加为自定义策略。如下即为AliyunAnalyticDBFullAccess策略的定义格式。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ads:*",
            "Resource": "*"
        }
    ],
    "Version": "1"
}

注意事项

• 一旦授予子账号AliyunAnalyticDBFullAccess访问策略，子账号将继承主账号在AnalyticDB中全部权限，请慎重。

• 暂不支持STS Token访问和角色。