阿里云的访问控制RAM(Resource Access Management)服务授权子用户管理RDS实例。

描述

您通过云账号创建的RDS实例,都是该账号自己拥有的资源。默认情况下,账号对自己的资源拥有完整的操作权限。

通过使用阿里云的访问控制RAM(Resource Access Management)服务,您可以将您云账号下RDS资源的访问及管理权限授予RAM中的子用户。

目前,可以在RAM中进行授权的资源类型只有dbinstance,即最细粒度为实例级别。在通过RAM进行授权时,资源的描述方式如下:

请求参数

资源类型 授权策略中的资源描述方式
dbinstance acs:rds:$regionid:$accountid:dbinstance/$dbinstanceid

acs:rds:$regionid:$accountid:dbinstance/

acs:rds:::dbinstance/

参数说明如下:

参数名称 说明
$regionid
地域的ID,可以用*代替。
$dbinstanceid
实例的名称,可以用*代替。
$accountid
云账号的数字ID,可以用*代替。

示例

授权用户可以查看所有实例,但是仅能创建和管理某个实例的备份,到期时间为2020年8月17日。

{
    "Statement": [
        {
            "Action": [
                "rds:CreateBackup",
                "rds:ModifyBackupPolicy"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:rds:*:*:*/rm-bpxxxxxxx"
            ],
            "Condition": {
                "DateLessThan": {
                    "acs:CurrentTime": "2020-08-17T23:59:59+08:00"
                }
            }
        },
        {
            "Action": [
                "rds:Describe*"
            ],
            "Effect": "Allow",
            "Resource": [
                "acs:rds:*:*:*/*"
            ],
            "Condition": {
                "DateLessThan": {
                    "acs:CurrentTime": "2020-08-17T23:59:59+08:00"
                }
            }
        }
    ],
    "Version": "1"
}
说明 更详细的权限设置请参见权限策略语法和结构

RDS API的鉴权规则

当子用户通过API访问RDS时,RDS后台会向RAM进行权限检查,以确保调用者拥有相应权限。每个API会根据涉及到的资源以及API的语义来确定需要检查哪些资源的权限。