本文介绍如何在 DRDS 中使用 RAM 的账号体系及权限策略进行资源和权限控制。

目前，DRDS 控制台使用 RAM 有如下限制:

• RAM 子帐户删除数据库与删除只读账户需要开启 MFA 多因素认证（具体请参见下文）；
• RAM 子帐户没有修改 DRDS 数据库密码的权限。

DRDS 控制台使用 RAM

在 DRDS 控制台使用 RAM 需要在 RAM 控制台进行以下操作：

• 创建 RAM 子账户；
• 创建授权策略；
• 为 RAM 子账户授权。

注意： 在 DRDS 使用 RAM 账号系统前，请确保已经激活 DRDS 对 RDS 的访问授权，创建了供 DRDS 使用的 RAM 角色（role），具体请参考使用 RAM 的准备工作文档。

创建 RAM 子账户

登录 RAM 控制台，根据控制台引导创建 RAM 子帐户。

RAM 子帐户创建成功后，就可以为子帐户授予相应的资源权限。RAM 中的权限由策略来实现，所以需要先创建(修改)策略。

创建策略

在 RAM 控制台左侧菜单栏选择策略管理，单击页面右上角的新建授权策略，根据引导完成策略创建。

说明：

• RAM 控制台提供了AliyunDRDSReadOnlyAccess（表示只读操作的权限合集）和AliyunDRDSFullAccess（表示所有操作的权限合集）两个策略，在授权时可以选择授予子帐户这两个策略。
• 如果需要更加灵活的授权策略，也可以选择空白模板，自定义具体的 DRDS 授权策略。在 RAM 服务中，使用授权策略语言来描述一个授权策略，具体的语法请参考 Policy 语法结构。目前 DRDS 支持的授权策略参见 DRDS 支持的资源授权。

自定义策略示例

• 赋予某个子帐户对应的主账户所拥有的 DRDS 控制台操作权限：

  {
    "Version": "1",
    "Statement": [
        {
            "//": "1234 是子帐号对应的主帐号的 uid",
            "Action": "drds:*",
            "Resource": "acs:drds:*:1234:instance/*",
            "Effect": "Allow"
        },
        {
            "//": "注意，为保证 RAM 功能的正常使用，请确保策略中存在下面这段",
            "Action": "ram:PassRole",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
  }

• 指定用户只可以访问杭州可用区下所有 DRDS 的权限：

  {
    "Version": "1",
    "Statement": [
        {
            "//": "1234 是子帐号对应的主帐号的 uid",
            "Action": "drds:*",
            "Resource": "acs:drds:cn-hangzhou:1234:instance/*",
            "Effect": "Allow"
        },
        {
            "//": "注意，为保证 RAM 功能的正常使用，请确保策略中存在下面这段",
            "Action": "ram:PassRole",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
  }

• 指定用户无法访问特定的某个实例。被授予该策略的 RAM 子帐户可以访问除drds******hb4之外的所有 DRDS 实例。：

  {
    "Version": "1",
    "Statement": [
        {
            "//": "1234 是子帐号对应的主帐号的 uid",
            "Action": "drds:*",
            "Resource": "acs:drds:*:1234:instance/*",
            "Effect": "Allow"
        },
        {
            "Action": "drds:*",
            "Resource": [
                "acs:drds:*:1234:instance/drds******hb4",
                "acs:drds:*:1234:instance/drds******hb4/*"
            ],
            "Effect": "Deny"
        },
        {
            "//": "注意，为保证 RAM 功能的正常使用，请确保策略中存在下面这段",
            "Action": "ram:PassRole",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
  }

为子账户授权

创建好策略后，就可以对某个子账户进行授权，赋予该子账户特定的 DRDS 权限。

1. 在 RAM 控制台左侧菜单栏选择用户管理。
2. 在需要操作的子账户对应一行，单击右侧的授权按钮。
3. 选择相应的策略进行授权。

完成以上步骤后，就可以用 RAM 子账户登录 DRDS 并进行相关操作了。

主子账号操作区别

在删除数据库或者数据库只读账户时，主子账户存在以下区别：

• 使用主账户删除：需要验证主账户的手机号码，即主账户输入 DRDS 控制台发送的短信验证码以后才能删除。

• 使用子账户删除：不需要与手机号码绑定，只需要在 RAM 控制台为子帐户开启多因素认证。

开启多因素认证操作如下：

1. 在 RAM 控制台左侧菜单栏选择用户管理。
2. 单击需要操作的子账户名称进入用户详情页。
3. 在多因素认证设备一栏下，单击启用虚拟 MFA 设备。

开启成功后，子账户登陆阿里云控制台都需要使用智能设备的应用“身份宝”进行认证。身份宝安装请参考身份宝。