閱讀585 返回首頁    go 阿裏雲

8.5 使用阿裏雲訪問控製(RAM)__第八章 在生產中使用分析型數據庫_使用手冊_分析型數據庫-阿裏雲

在0.8.43或0.9.7以後的版本的阿裏雲分析型數據庫中,支持通過阿裏雲訪問控製( https://ram.console.aliyun.com/ ) 創建的子賬號登錄分析型數據庫,並管理子賬號在不同條件下是否有使用分析型數據庫的權限。

主賬號在阿裏雲訪問控製的控製台中,可以新建多個子賬號,通過授予對應的授權策略,使子賬號在一定條件下可以訪問分析型數據庫。子賬號訪問分析型數據庫的MySQL協議端時需要使用其的Access Key ID/Secret作為用戶名和密碼。若在訪問控製中允許子賬號登錄阿裏雲控製台,子賬號亦可登錄分析型數據庫的控製台DMS。

在阿裏雲訪問控製中,授權一個子賬號可以訪問分析型數據庫,可以使用係統內置的授權策略 AliyunAnalyticDBFullAccess 授予子賬號權限。在需要添加更多條件,或所在環境中找不到係統內置的授權策略的,可以按照如下示例的方式製定訪問策略(限製訪問來源IP必須是):

  1. {
  2.   "Version": "1",
  3.   "Statement": [
  4.     {
  5.       "Action": "ads:*",
  6.       "Resource": "*",
  7.       "Effect": "Allow"
  8.     }
  9.   ],
  10.   "Condition":{
  11.                 "IpAddress": {
  12.                     "acs:SourceIp": ["42.120.66.0/24"]
  13.                 }
  14.             }
  15. }

此策略限製該用戶隻能在42.120.66.0/24網段訪問分析型數據庫。詳細的策略編寫方法詳見 https://help.aliyun.com/document_detail/28663.html

注意一旦授予子賬號相關訪問策略,子賬號將繼承主賬號在分析型數據庫的全部權限(除ACL授權相關權限),包括主賬號作為owner的數據庫的權限,以及主賬號被授權的其他數據庫的相關被授予的權限。另外需要注意,目前暫不支持STS Token訪問分析型數據庫。

最後更新:2016-11-23 16:04:12

  上一篇:go 8.4 使用阿裏雲數據傳輸實時同步RDS的數據__第八章 在生產中使用分析型數據庫_使用手冊_分析型數據庫-阿裏雲
  下一篇:go 8.6 使用本地客戶端連接分析型數據庫__第八章 在生產中使用分析型數據庫_使用手冊_分析型數據庫-阿裏雲