全部产品
阿里云办公

6.4 使用阿里云访问控制(RAM)

更新时间:2018-10-09 07:12:20

阿里云分析型数据库支持通过阿里云访问控制( https://ram.console.aliyun.com/ ) 创建的子账号登录分析型数据库,并管理子账号在不同条件下是否有使用分析型数据库的权限。

主账号在阿里云访问控制的控制台中,可以新建多个子账号,通过授予对应的授权策略,使子账号在一定条件下可以访问分析型数据库;也可以使用分析型数据库的ACL权限策略对子账号进行管理。访问分析型数据库的MySQL协议端时需要使用其的Access Key ID/Secret作为用户名和密码。若在访问控制中允许子账号登录阿里云控制台,子账号亦可登录分析型数据库的控制台DMS。

  • 使用ACL权限管理子账号(推荐)

把子账号当作一个用户,对子账号授权相应的ACL权限即可。ACL权限请参考:https://help.aliyun.com/document_detail/26418.html?spm=a2c4g.11186623.6.616.36a5729bavHfkc。

如下例子为对一个子账号授权表级别的describe和select权限。

  1. GRANT describe, select ON table db_name.table__name TO 'RAM$primaryAccount_name:subAccount_name';

注意:ACL权限子账号的账号格式为:RAM$主账号名:子账号名(主账号不带ALIYUN$开头)

也可以在分析型数据控制台上使用新建授权功能对子账号进行授权,用户按照上面规则填写子账号用户名,然后选取相应的授权即可。

  • 使用RAM权限策略管理子账号(不推荐使用)

在阿里云访问控制中授权一个子账号访问分析型数据库,可以使用如下授权策略授予子账号权限。按照如下示例的方式制定自定义授权策略:

  1. {
  2. "Version": "1",
  3. "Statement": [
  4. {
  5. "Action": "ads:*",
  6. "Resource": "*",
  7. "Effect": "Allow"
  8. }
  9. ],
  10. "Condition":{
  11. "IpAddress": {
  12. "acs:SourceIp": ["42.120.66.0/24"]
  13. }
  14. }
  15. }

此策略限制该用户只能在42.120.66.0/24网段访问分析型数据库。详细的策略编写方法详见 https://help.aliyun.com/document_detail/28663.html

注意:一旦授予子账号相关访问策略,子账号将继承主账号在分析型数据库的全部权限,包括主账号作为owner的数据库的权限,以及主账号被授权的其他数据库的相关被授予的权限。另外需要注意,目前暂不支持STS Token访问分析型数据库。