阅读503 返回首页    go 阿里云

DTS支持RAM主子账号__访问控制_用户指南_数据传输-阿里云

DTS支持RAM主子账号

数据传输服务DTS已经支持阿里云主子账号体系。用户即可以使用阿里云主账号购买并管理DTS任务,同时也可以将权限授权给子账号,让子账号有权限购买并管理DTS任务。
本文简单介绍,DTS主子账号使用方式。

子账号定义

DTS目前只支持读写和只读两种访问子账号,尚不支持API粒度的访问授权。
DTS支持的读写和只读策略属于RAM系统授权策略,策略分别为:

  • 读写策略
    读写策略名称为:AliyunDTSFullAccess, 其策略定义为:
  1. {
  2.   "Version": "1",
  3.   "Statement": [
  4.     {
  5.       "Action": "dts:*",
  6.       "Resource": "*",
  7.       "Effect": "Allow"
  8.     },
  9.     {
  10.       "Action": "ram:PassRole",
  11.       "Resource": "*",
  12.       "Effect": "Allow",
  13.       "Condition": {
  14.         "StringEquals": {
  15.           "acs:Service": "dts.aliyuncs.com"
  16.         }
  17.       }
  18.     }
  19.   ]
  20. }

读写策略拥有DTS所有读写权限,一旦授权某个子账号读写策略,那么这个子账号可以进行从DTS实例的购买、配置到管理的全生命周期管理。

  • 只读策略

只读策略的策略名字为:AliyunDTSReadOnlyAccess, 其策略定义为:

  1. {
  2.   "Version": "1",
  3.   "Statement": [
  4.     {
  5.       "Action": "dts:Describe*",
  6.       "Resource": "*",
  7.       "Effect": "Allow"
  8.     }
  9.   ]
  10. }

读写策略拥有DTS所有读权限,一旦授权某个子账号只读策略,那么这个子账号可以查看主账号下所有DTS任务的任务详情配置等信息,但是不能进行变更操作。这里面的变更操作主要包括:购买、配置、启动、修改、启动、暂停、结束及释放。

子账号授权

为了安全起见,您可以将DTS的任务创建及管理工作授权给某个子账号进行,而不将主账号提供给公司每个同学。本小节简单介绍如何创建可使用DTS服务的子账号。

(1) 创建子用户

如果尚未创建子账号,那么先创建一个子账号,具体创建流程参考RAM使用手册

(2) 用户授权

当用户创建完成后,即开始策略授权,将DTS系统策略授权给子账号。进入RAM控制台,进入用户管理界面,点击要授权子账号后面的 授权入口,开始角色策略授权。授权步骤1

在策略选择步骤中,搜索DTS相关策略。
授权步骤2

从左侧的可选授权列表中,选择要授权的DTS系统策略,添加到已选授权策略列表中,并点击确认,完成角色授权。

(3) 访问DTS服务

当完成角色授权后,使用RAM子账号登陆地址进行子账号登陆。RAM登陆地址可以在RAM概览页中查看。
授权步骤3

登陆控制台后,选择 数据库类目中的数据传输,登陆到数据传输服务DTS控制台,即可开始DTS任务的创建及管理。授权步骤4

至此,完成DTS子账号授权及DTS控制台登陆操作。

最后更新:2016-11-23 17:16:11

  上一篇:go 创建数据订阅通道__快速入门_数据传输-阿里云
  下一篇:go DTS服务账号角色授权__访问控制_用户指南_数据传输-阿里云