RAM子账号和权限
RAM(Resource Access Management)是阿里云提供的权限管理系统。RAM主要的作用是控制账号系统的权限,您可以使用RAM在主账号的权限范围内创建子账号,给不同的子账号分配不同的权限来允许或拒绝他们对云资源的访问,从而达到授权管理的目的。
说明:
RAM子账号从属于阿里云主账号,并且这些子账号下不能拥有实际的任何资源,所有资源都属于阿里云主账号。
通过RAM子账号创建AnalyticDB for MySQL集群后,只能通过该RAM子账号和所属阿里云主账号查看或使用集群;其他RAM子账号需要授权后才能查看或者使用该集群,授权方法请参见本文中的授权步骤。
使用场景
通过阿里云主账号创建AnalyticDB for MySQL集群后,如果您的组织里有多个用户需要使用AnalyticDB for MySQL集群,这些用户只能共享使用您的云账号AccessKey。这里有两个问题:
您的密钥由多人共享,泄露的风险很高。
您无法控制特定用户可以对集群进行哪些操作,例如扩容集群、重启集群等。
此时,您可以创建RAM子账号,并授予子账号对应的权限。之后,让您的用户通过子账号访问或管理您的AnalyticDB for MySQL集群。
如何实现
通过RAM子账号访问或者管理AnalyticDB for MySQL集群需要以下三个步骤。
实施步骤
步骤一:创建RAM子账号
登录RAM控制台。
单击左侧导航栏的人员管理 > 用户。
在用户页面,单击新建用户,输入登录名称和显示名称。
说明:单击添加用户,可一次性创建多个RAM子账号。
在访问方式区域下,选择控制台密码登录或编程访问。
控制台密码登录:可以完成对登录安全的基本设置,包括自动生成或自定义登录密码、是否要求下次登录时重置密码以及是否要求开启多因素认证。
编程访问:自动为RAM子账号创建访问密钥(AccessKey)。RAM子账号可以通过其他开发工具访问AnalyticDB for MySQL集群。
说明:为保障账号安全,建议仅为RAM子账号选择一种登录方式。避免RAM子账号离开组织后仍可以通过访问密钥访问AnalyticDB for MySQL集群。
单击确认,创建RAM子账号。
步骤二:新建AnalyticDB for MySQL权限策略
目前通过阿里云主账号可以在RAM中新建以下两种类型的AnalyticDB for MySQL权限策略。
AliyunAnalyticDBFullAccess
:授予RAM子账号AliyunAnalyticDBFullAccess
权限策略后,RAM子账号将继承AnalyticDB for MySQL集群中高权限账号的所有权限,即RAM子账号拥有的权限与高权限账号完全相同,请慎重使用。AliyunAnalyticDBReadOnlyAccess
:授予RAM子账号AliyunAnalyticDBReadOnlyAccess
权限策略后,RAM子账号只能只读访问AnalyticDB for MySQL集群。
登录RAM控制台。
单击左侧导航栏的权限策略管理 > 新建权限策略。
在新建自定义权限策略页面,进行以下操作。
策略名称:
AliyunAnalyticDBReadOnlyAccess
或者AliyunAnalyticDBFullAccess
。备注:只读访问AnalyticDB for MySQL集群的权限,或者管理AnalyticDB for MySQL集群的权限。
配置模式:选择脚本配置。
策略内容:用以下策略替换原始策略。
AliyunAnalyticDBReadOnlyAccess
策略对应的权限内容为:{
"Version": "1",
"Statement": [
{
"Action": "adb:Describe*",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
AliyunAnalyticDBFullAccess
策略对应的权限内容为:{
"Version": "1",
"Statement": [
{
"Action": "adb:*",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "dms:LoginDatabase",
"Resource": "acs:adb:*:*:*",
"Effect": "Allow"
}
]
}
单击确认,新建AnalyticDB for MySQL权限策略。
步骤三:为RAM子账号授权
登录RAM控制台。
单击左侧导航栏的人员管理 > 用户。
在用户页面,单击目标RAM子账号右侧的添加权限。
在添加权限页面,权限类型选择自定义权限策略,输入策略名称找到对应的权限策略,单击将其添加到已选择框中。
单击确认,为RAM子账号授权。
为RAM子账号授予相应的权限后,您就可以通过RAM子账号访问或者管理AnalyticDB for MySQL集群。
更多信息
当RAM子账号不再需要某些权限或离开组织时,可以将这些权限移除或者删除RAM子账号,请参见为RAM用户移除权限以及删除RAM用户
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
评论