為了細分賬號權限,提升賬號安全性,您可以通過訪問控制RAM(Resource Access Management)將DTS的管理權限授權給子賬號,然后使用子賬號訪問DTS。
前提條件
已授予子賬號訪問云資源的權限,允許其訪問當前云賬號下的RDS、ECS等云資源,則子賬號配置DTS的任務時,DTS可調用相關云資源信息。詳情請參見授予DTS訪問云資源的權限。
注意事項
子賬號暫不支持配置目標庫為MaxCompute的數據同步作業(yè),需要使用主賬號完成配置。
使用子賬號配置DTS的任務時,如果數據庫是數據庫網關DG或云企業(yè)網CEN接入的,您還需要為子賬號授予AliyunDGFullAccess(管理數據庫網關DG的權限)或AliyunCENFullAccess(管理云企業(yè)網CEN的權限)權限。
策略說明
DTS支持的授權策略為讀寫策略和只讀策略。
授權策略暫不支持API粒度的訪問授權。
讀寫策略:AliyunDTSFullAccess。
該策略擁有DTS所有讀寫權限,授權了該策略的子賬號可以進行DTS實例的購買、配置、管理等操作。
只讀策略:AliyunDTSReadOnlyAccess。
該策略擁有DTS所有讀權限,授權了該權限的子賬號可以查看主賬號下所有DTS任務的任務詳情、任務配置等信息,不能進行變更操作。
說明變更操作主要包括:DTS實例的購買、配置、管理等操作。
操作步驟
使用阿里云賬號登錄RAM控制臺。
可選:創(chuàng)建RAM用戶。
更多信息,請參見創(chuàng)建RAM用戶。
在左側導航欄,選擇。
在用戶頁面,單擊目標RAM用戶操作列的添加權限。
在新增授權面板,為RAM用戶添加權限。
選擇資源范圍。
賬號級別:權限在當前阿里云賬號內生效。
資源組級別:權限在指定的資源組內生效。
重要指定資源組授權生效的前提是該云服務及資源類型已支持資源組,詳情請參見支持資源組的云服務。資源組授權示例,請參見使用資源組限制RAM用戶管理指定的ECS實例。
在權限策略區(qū)域的下拉框中,將策略類型選擇權限為系統(tǒng)策略。
在搜索框中輸入dts,展現DTS相關的系統(tǒng)權限策略。
根據業(yè)務需求單擊目標權限策略名稱,將其添加到已選擇權限策略區(qū)域框中。
說明關于策略的詳細說明,請參見策略說明。
單擊確定。
授權成功后,單擊完成。