在阿里云中,访问控制(Resource Access Management,简称RAM)是权限管理系统,主要用于控制账号在阿里云中,访问控制(Resource Access Management,简称RAM)是权限管理系统,主要用于控制账号系统的权限。当您使用RAM用户操作Hologres服务时,例如启停服务、购买或删除实例等,阿里云会对您的账号进行RAM鉴权,只有具备相关权限的RAM用户才能进行操作。
为了确保RAM用户不能进行数据库服务层级的修改,如升降配实例资源等,您可以采取以下步骤限制其权限:
主账号授予RAM用户相应的权限后,RAM用户可以在Hologres管理控制台执行查看、购买或删除实例等操作。为了避免不必要的误操作,您可以只为RAM用户添加必要的权限。例如,如果您的RAM用户只需要查看实例信息,那么您可以为其添加AliyunHologresReadOnlyAccess权限策略。
确保RAM用户没有显示用户列表和DB管理模块的权限。如果RAM用户登录Hologres管理控制台后,无法查看用户管理和DB管理模块的信息,您可以为主账号登录RAM控制台,授予RAM用户显示用户列表和DB管理模块的权限,例如AliyunRAMReadOnlyAccess权限策略。
避免使用系统策略为RAM用户授权,因为系统策略会授予RAM用户所有操作的权限。相反,推荐使用自定义策略来精确控制RAM用户的权限。
通过上述方法,您可以确保RAM用户在Hologres服务中的操作范围受到严格限制,从而避免进行不当的数据库服务层级的修改。
