如何使用阿里云访问控制(RAM)?
在0.8.43或0.9.7以后的版本的阿里云分析型数据库中,支持通过阿里云访问控制(
https://ram.console.aliyun.com/ ) 创建的子账号登录分析型数据库,并管理子账号在不同条件下是否有使用分析型数据库的权限。
主账号在阿里云访问控制的控制台中,可以新建多个子账号,通过授予对应的授权策略,使子账号在一定条件下可以访问分析型数据库。子账号访问分析型数据库的MySQL协议端时需要使用其的Access Key ID/Secret作为用户名和密码。若在访问控制中允许子账号登录阿里云控制台,子账号亦可登录分析型数据库的控制台DMS。
在阿里云访问控制中,授权一个子账号可以访问分析型数据库,可以使用系统内置的授权策略 AliyunAnalyticDBFullAccess 授予子账号权限。在需要添加更多条件,或所在环境中找不到系统内置的授权策略的,可以按照如下示例的方式制定访问策略(限制访问来源IP必须是):<PRE prettyprinted? linenums>
- {
- "Version": "1",
- "Statement": [
- {
- "Action": "ads:*",
- "Resource": "*",
- "Effect": "Allow"
- }
- ],
- "Condition":{
- "IpAddress": {
- "acs:SourceIp": ["42.120.66.0/24"]
- }
- }
- }
此策略限制该用户只能在42.120.66.0/24网段访问分析型数据库。详细的策略编写方法详见 https://help.aliyun.com/document_detail/28663.html 。
注意一旦授予子账号相关访问策略,子账号将继承主账号在分析型数据库的全部权限(除ACL授权相关权限),包括主账号作为owner的数据库的权限,以及主账号被授权的其他数据库的相关被授予的权限。另外需要注意,目前暂不支持STS Token访问分析型数据库。
展开
收起
3
条回答
写回答
写回答
问答分类:
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
