日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 云原生數據倉庫AnalyticDB 云原生數據倉庫AnalyticDB MySQL版 操作指南 集群管理 賬號與權限 RAM用戶與權限

RAM用戶與權限

更新時間:
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。

訪問控制RAM(Resource Access Management)是阿里云提供的權限管理系統。RAM主要的作用是控制賬號系統的權限,您可以使用RAM在阿里云賬號(主賬號)的權限范圍內創建RAM用戶(子賬號),給不同的RAM用戶分配不同的權限來允許或拒絕RAM用戶對云資源的訪問,從而達到授權管理的目的。

背景信息

說明

  • RAM用戶從屬于阿里云賬號,并且這些RAM用戶下不能擁有實際的任何資源,所有資源都屬于阿里云賬號。

  • 通過RAM用戶創建AnalyticDB for MySQL集群后,只能通過該RAM用戶和所屬阿里云賬號查看或使用集群;其他RAM用戶需要授權后才能查看或者使用該集群。

使用場景

通過阿里云賬號創建AnalyticDB for MySQL集群后,如果您的組織里有多個用戶需要使用AnalyticDB for MySQL集群,這些用戶只能共享使用您的云賬號AccessKey。

警告

多個用戶共享使用您的云賬號AccessKey,會存在如下風險。

  • 您的密鑰由多人共享,泄露的風險很高。

  • 您無法控制特定用戶可以對集群進行哪些操作,例如擴容集群、重啟集群等。

此時,您可以創建RAM用戶,并授予RAM用戶對應的權限。之后,讓您的用戶通過RAM用戶訪問或管理您的AnalyticDB for MySQL集群。

如何實現

通過RAM用戶訪問或者管理AnalyticDB for MySQL集群需要以下兩個步驟。

  1. 創建RAM用戶

  2. 為RAM用戶授權

創建RAM用戶

  1. 登錄RAM控制臺

  2. 單擊左側導航欄的身份管理 > 用戶

  3. 用戶頁面,單擊創建用戶,輸入登錄名稱顯示名稱

    說明

    單擊添加用戶,可一次性創建多個RAM用戶。

  4. 訪問方式區域下,選擇控制臺訪問使用永久 AccessKey 訪問

    • 控制臺訪問:可以完成對登錄安全的基本設置,包括自動生成或自定義登錄密碼、是否要求下次登錄時重置密碼以及是否要求開啟多因素認證。

    • 使用永久 AccessKey 訪問:自動為RAM用戶創建訪問密鑰(AccessKey)。RAM用戶可以通過其他開發工具訪問AnalyticDB for MySQL集群。

    為保障賬號安全,建議僅為RAM用戶選擇一種登錄方式。避免RAM用戶離開組織后仍可以通過訪問密鑰訪問AnalyticDB for MySQL集群。

  5. 單擊確認,創建RAM用戶。

為RAM用戶授權

  1. 登錄RAM控制臺

  2. 單擊左側導航欄的身份管理 > 用戶

  3. 用戶頁面,單擊目標RAM用戶右側的添加權限

  4. 添加權限頁面,權限類型選擇系統策略,輸入策略名稱找到對應的權限策略,單擊將其添加到已選擇權限策略框中。

    警告

    請勿過度授權。過度授權后操作人員權限過大,可以隨意操作,可能引發安全風險或造成損失。

    權限策略說明:

    • 數倉版集群的權限:

      • AliyunADBReadOnlyAccess,只讀訪問數倉版集群的權限。

      • AliyunADBFullAccess,管理數倉版集群的權限。

    • 企業版、基礎版及湖倉版集群的權限:

      • AliyunADBReadOnlyAccess,只讀訪問企業版、基礎版及湖倉版集群的權限。

      • AliyunADBFullAccess,管理企業版、基礎版及湖倉版集群的權限。

      • AliyunADBDeveloperAccess企業版、基礎版及湖倉版集群的開發者權限。與AliyunADBFullAccess策略相比,AliyunADBDeveloperAccess不包含集群的創建、變配、刪除、RAM用戶綁定等操作權限。

  5. 單擊確認,為RAM用戶授權。

    為RAM用戶授予相應的權限后,您就可以通過RAM用戶訪問或者管理AnalyticDB for MySQL集群。

創建權限策略

如需對RAM用戶進行精細到實例級別的操作授權,這種場景需要在RAM中創建自定義權限策略。

  1. 登錄RAM控制臺

  2. 單擊左側導航欄的權限管理 > 權限策略

  3. 單擊創建權限策略,本文以創建AnalyticDB for MySQL集群的管理權限為例。

  4. 配置模式選擇腳本編輯

  5. 輸入配置腳本,腳本內容示例如下。

    管理“am-xxx”實例權限:

    {
    "Version": "1",
    "Statement": [
        {
            "Action": ["adb:DescribeDBClusters", "adb:ListTagResources"],
            "Resource": "acs:adb:*:*:dbcluster/*",
            "Effect": "Allow"
        },
        {
            "Action": "adb:*",
            "Resource": ["acs:adb:*:*:dbcluster/am-xxx"],
            "Effect": "Allow"
        }
    ]
}

    只讀“am-xxx”實例權限:

    {
    "Version": "1",
    "Statement": [
        {
            "Action": ["adb:DescribeDBClusters", "adb:ListTagResources"],
            "Resource": "acs:adb:*:*:dbcluster/*",
            "Effect": "Allow"
        },
        {
            "Action": "adb:Describe*",
            "Resource": ["acs:adb:*:*:dbcluster/am-xxx"],
            "Effect": "Allow"
        }
    ]
}

    若RAM用戶需要管理或只讀多個集群,在腳本的"Resource": ["acs:adb:*:*:dbcluster/am-xxx"] 中增加相應的集群ID即可,例如 "Resource": ["acs:adb:*:*:dbcluster/am-xxx", "acs:adb:*:*:dbcluster/am-yyy"]

    權限策略創建完成后,將權限策略授權給對應RAM用戶即可。

  6. 單擊確定

  7. 輸入策略名稱和備注,單擊確定

相關文檔

  • 當使用AnalyticDB for MySQL企業版、基礎版及湖倉版時,可以將數據庫普通賬號綁定RAM用戶,直接在AnalyticDB for MySQL控制臺的SQL編輯器或Spark編輯器中進行數據庫開發,請參見綁定或解綁RAM用戶與數據庫賬號

  • 當RAM用戶不再需要某些權限或離開組織時,您可以將這些權限移除或者刪除RAM用戶,請參見為RAM用戶移除權限以及刪除RAM用戶