DMS自定義權(quán)限策略參考
如果系統(tǒng)權(quán)限策略不能滿足您的要求,您可以創(chuàng)建自定義權(quán)限策略實現(xiàn)最小授權(quán)。使用自定義權(quán)限策略有助于實現(xiàn)權(quán)限的精細(xì)化管控,是提升資源訪問安全的有效手段。本文介紹數(shù)據(jù)管理DMS使用自定義權(quán)限策略的場景和策略示例。
什么是自定義權(quán)限策略
在基于RAM的訪問控制體系中,自定義權(quán)限策略是指在系統(tǒng)權(quán)限策略之外,您可以自主創(chuàng)建、更新和刪除的權(quán)限策略。自定義權(quán)限策略的版本更新需由您來維護(hù)。
創(chuàng)建自定義權(quán)限策略后,需為RAM用戶、用戶組或RAM角色綁定權(quán)限策略,這些RAM身份才能獲得權(quán)限策略中指定的訪問權(quán)限。
已創(chuàng)建的權(quán)限策略支持刪除,但刪除前需確保該策略未被引用。如果該權(quán)限策略已被引用,您需要在該權(quán)限策略的引用記錄中移除授權(quán)。
自定義權(quán)限策略支持版本控制,您可以按照RAM規(guī)定的版本管理機(jī)制來管理您創(chuàng)建的自定義權(quán)限策略版本。
操作文檔
常見自定義權(quán)限策略場景及示例
示例:為RAM用戶授予通過DMS登錄RDS實例的權(quán)限
授予RAM用戶登錄指定RDS實例的權(quán)限。
您需要創(chuàng)建自定義如下權(quán)限策略,并為RAM用戶授權(quán)。具體操作,請參見創(chuàng)建自定義權(quán)限策略和為RAM用戶授權(quán)。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": ["dms:LoginDatabase"],
"Resource": ["acs:rds:*:*:dbinstance/[$RDS_ID]"]
}
]
}[$RDS_ID]指RDS實例的ID。
授予RAM用戶登錄賬號下所有RDS實例的權(quán)限。
您需要在RAM控制臺為RAM用戶授予
AliyunRDSFullAccess權(quán)限,或創(chuàng)建如下授權(quán)策略,并為RAM用戶授權(quán)。為RAM用戶授權(quán)的具體操作,請參見為RAM用戶授權(quán)。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": ["dms:LoginDatabase"], "Resource": ["acs:rds:*:*:*"] } ] }
授權(quán)信息參考
使用自定義權(quán)限策略,您需要了解業(yè)務(wù)的權(quán)限管控需求,并了解數(shù)據(jù)管理DMS的授權(quán)信息。詳細(xì)內(nèi)容請參見授權(quán)信息。