阿里云的访问控制RAM(Resource Access Management)服务授权子用户管理RDS实例。
描述
您通过云账号创建的RDS实例,都是该账号自己拥有的资源。默认情况下,账号对自己的资源拥有完整的操作权限。
通过使用阿里云的访问控制RAM(Resource Access Management)服务,您可以将您云账号下RDS资源的访问及管理权限授予RAM中的子用户。
目前,可以在RAM中进行授权的资源类型只有dbinstance,即最细粒度为实例级别。在通过RAM进行授权时,资源的描述方式如下:
请求参数
资源类型 | 授权策略中的资源描述方式 |
---|---|
dbinstance | acs:rds:$regionid:$accountid:dbinstance/$dbinstanceid acs:rds:$regionid:$accountid:dbinstance/ acs:rds:::dbinstance/ |
参数说明如下:
参数名称 | 说明 |
---|---|
$regionid |
地域的ID,可以用* 代替。 |
$dbinstanceid |
实例的名称,可以用* 代替。 |
$accountid |
云账号的数字ID,可以用* 代替。 |
示例
- 授权用户可以查看所有实例,但是仅能创建和管理某个实例的备份,到期时间为2020年8月17日。
{ "Statement": [ { "Action": [ "rds:CreateBackup", "rds:ModifyBackupPolicy" ], "Effect": "Allow", "Resource": [ "acs:rds:*:*:*/rm-bpxxxxxxx" ], "Condition": { "DateLessThan": { "acs:CurrentTime": "2020-08-17T23:59:59+08:00" } } }, { "Action": [ "rds:Describe*" ], "Effect": "Allow", "Resource": [ "acs:rds:*:*:*/*" ], "Condition": { "DateLessThan": { "acs:CurrentTime": "2020-08-17T23:59:59+08:00" } } } ], "Version": "1" }
RDS API的鉴权规则
当子用户通过API访问RDS时,RDS后台会向RAM进行权限检查,以确保调用者拥有相应权限。每个API会根据涉及到的资源以及API的语义来确定需要检查哪些资源的权限。