阅读585 返回首页    go 阿里云

8.5 使用阿里云访问控制(RAM)__第八章 在生产中使用分析型数据库_使用手册_分析型数据库-阿里云

在0.8.43或0.9.7以后的版本的阿里云分析型数据库中,支持通过阿里云访问控制( https://ram.console.aliyun.com/ ) 创建的子账号登录分析型数据库,并管理子账号在不同条件下是否有使用分析型数据库的权限。

主账号在阿里云访问控制的控制台中,可以新建多个子账号,通过授予对应的授权策略,使子账号在一定条件下可以访问分析型数据库。子账号访问分析型数据库的MySQL协议端时需要使用其的Access Key ID/Secret作为用户名和密码。若在访问控制中允许子账号登录阿里云控制台,子账号亦可登录分析型数据库的控制台DMS。

在阿里云访问控制中,授权一个子账号可以访问分析型数据库,可以使用系统内置的授权策略 AliyunAnalyticDBFullAccess 授予子账号权限。在需要添加更多条件,或所在环境中找不到系统内置的授权策略的,可以按照如下示例的方式制定访问策略(限制访问来源IP必须是):

  1. {
  2.   "Version": "1",
  3.   "Statement": [
  4.     {
  5.       "Action": "ads:*",
  6.       "Resource": "*",
  7.       "Effect": "Allow"
  8.     }
  9.   ],
  10.   "Condition":{
  11.                 "IpAddress": {
  12.                     "acs:SourceIp": ["42.120.66.0/24"]
  13.                 }
  14.             }
  15. }

此策略限制该用户只能在42.120.66.0/24网段访问分析型数据库。详细的策略编写方法详见 https://help.aliyun.com/document_detail/28663.html

注意一旦授予子账号相关访问策略,子账号将继承主账号在分析型数据库的全部权限(除ACL授权相关权限),包括主账号作为owner的数据库的权限,以及主账号被授权的其他数据库的相关被授予的权限。另外需要注意,目前暂不支持STS Token访问分析型数据库。

最后更新:2016-11-23 16:04:12

  上一篇:go 8.4 使用阿里云数据传输实时同步RDS的数据__第八章 在生产中使用分析型数据库_使用手册_分析型数据库-阿里云
  下一篇:go 8.6 使用本地客户端连接分析型数据库__第八章 在生产中使用分析型数据库_使用手册_分析型数据库-阿里云