閱讀328 返回首頁    go 阿裏雲

跨阿裏雲賬號下的實例遷移同步__訪問控製_用戶指南_數據傳輸-阿裏雲

數據傳輸DTS支持兩個阿裏雲賬號下的實例進行數據遷移同步。為了實現這個功能,源實例所屬阿裏雲賬號需要將相關授權給目標實例所屬阿裏雲賬號,然後使用目標實例所屬阿裏雲賬號登陸DTS控製台進行任務配置。
本小節介紹,如何通過RAM進行跨賬號授權,以實現不同阿裏雲賬號下的實例間的數據遷移同步。

DTS支持的跨賬號遷移同步功能

DTS能夠支持的跨賬號遷移同步功能包括:

  • 數據遷移

    • RDS實例->RDS實例
    • RDS實例->DRDS實例
    • RDS實例->PetaData實例
    • RDS實例->OceanBase實例
    • RDS實例->ECS自建數據庫
    • RDS實例->有公網IP的自建數據庫

  • 數據同步

    • RDS實例->RDS實例
    • RDS實例->MaxCompute(原ODPS)實例
    • RDS實例->Datahub(流計算使用)實例

跨賬號傳輸配置信息

進行跨賬號數據遷移同步時,源RDS實例所屬阿裏雲賬號需要通過RAM的跨主賬號授權,授權目標實例所屬阿裏雲賬號可以在DTS中訪問自己的相關雲資源。使用DTS配置跨賬號數據遷移同步時,源實例除了實例的連接信息,還需要配置授權相關信息,具體如下:

跨賬號配置信息

上圖中, RDS所屬阿裏雲賬號 為源RDS所屬阿裏雲賬號的賬號ID,可以到賬號管理的 安全設置 界麵獲取
賬號ID

角色名稱 為源RDS所屬阿裏雲賬號給目標實例所屬阿裏雲賬號進行授權角色的角色名稱。下麵會介紹如何創建這個授權角色。

跨賬號角色授權

本小節介紹如何使用RAM進行跨阿裏雲賬號授權,授權另外一個阿裏雲賬號在DTS中訪問自己的雲資源。
下麵就以需要將賬號A下麵的RDS實例遷移到賬號B下的雲資源為例,介紹角色授權過程。

角色創建

  1. 使用賬號A登陸RAM管理控製台,進入角色管理界麵,點擊頁麵右上角的 新建角色,開始創建跨賬號授權角色。
  2. 第一步的角色類型,選擇用戶角色
  3. 受信雲賬號,選擇 其他雲賬號,同時,受信雲賬號ID 配置目標實例所屬阿裏雲賬號即賬號B的賬號ID

受信雲賬號(4) 第四步,配置角色名稱,這個名稱就是DTS同步作業配置過程中,需要填寫的角色名稱。

角色授權

角色創建完成後,需要修改角色授權策略,包括:
(1) 受信雲賬號,限製受信雲賬號 隻能在DTS 控製台訪問自己的雲資源。 具體修改步驟如下:
1) 在角色管理界麵,點擊 剛創建角色 後麵的 管理 按鈕,進入角色管理界麵。角色管理入口2) 在角色管理界麵,點擊右上角的 編輯基本信息,進入角色編輯框,在編輯框中,修改Principal,添加service定義:

  1. "Service": [
  2.           "受信阿裏雲賬號ID@dts.aliyuncs.com"
  3.         ]

受信雲賬號的賬號ID,即最後配置DTS同步作業的阿裏雲賬號ID。dts.aliyuncs.com 為DTS服務代號。假設配置DTS同步作業的阿裏雲賬號ID為:121852226014398,那麼service定義為:

  1. "Service": [
  2.           "121852226014398@dts.aliyuncs.com"
  3.         ]

所以,完整的角色定義如下:

  1. {
  2.   "Statement": [
  3.     {
  4.       "Action": "sts:AssumeRole",
  5.       "Effect": "Allow",
  6.       "Principal": {
  7.         "RAM": [
  8.           "acs:ram::1218522260143989:root"
  9.         ],
  10.         "Service": [
  11.           "1218522260143989@dts.aliyuncs.com"
  12.         ]
  13.       }
  14.     }
  15.   ],
  16.   "Version": "1"
  17. }

(2)角色授權,授權角色能夠源實例所屬雲賬號下的資源

當受信雲賬號B配置完成後,需要修改角色的授權策略,將源賬號A下的部分雲資源的訪問權限授權給角色,這樣DTS可以扮演這個角色訪問A賬號下的雲實例。修改步驟如下:

1) 在角色管理界麵,點擊 剛創建角色 後麵的 授權 按鈕,進入角色授權界麵。角色授權入口

2) 在策略搜索框中,搜索AliyunDTSRolePolicy,將這個係統策略授權給角色。

至此,完成跨賬號授權角色的創建及授權。 後麵配置跨賬號遷移同步任務時,源實例信息中的,角色名稱 即為上麵創建的角色的名稱。

最後更新:2016-12-19 18:15:31

  上一篇:go DTS服務賬號角色授權__訪問控製_用戶指南_數據傳輸-阿裏雲
  下一篇:go 數據遷移功能簡介__數據遷移_用戶指南_數據傳輸-阿裏雲