本ドキュメントでは、RAM にポリシーを作成して RAM ユーザーの RDS 権限を管理する方法について説明します。

共通ポリシー

次の表は、RDS 権限を管理するために RAM に作成できる共通ポリシーの一覧です。

ポリシー 説明
AliyunRDSFullAccess RAM ユーザーに RDS インスタンスの完全管理権限を付与します。
AliyunRDSReadOnlyAccess RAM ユーザーに RDS インスタンスに対する読み取り専用権限を付与します。
RDS 権限の詳細は、RAM の権限付与 をご参照ください。

RAM ユーザーへのカスタムポリシーのアタッチ

  1. 本文の「RDS 権限付与の例」に従ってカスタムポリシーを作成します。

    詳細は、カスタマイズポリシーの作成 をご参照ください.

  2. 対象のポリシーを見つけてクリックします。
  3. リファレンスタブで、権限の付与 をクリックします
  4. プリンシパルフィールドに、対象 RAM ユーザーの ID または名前を入力します。
  5. OK をクリックします。
    必要に応じて、RAM ユーザーまたは RAM ユーザーグループにポリシーをアタッチすることもできます。 詳細は、RAM での権限付与 をご参照ください.

RDS 権限付与の例

  • 例 1:複数のインスタンスを持つ RAM 管理者として、ユーザーに 2 つのインスタンスのみを操作する権限を付与します。
    これら 2 つの RDS インスタンスの ID は、i-001 と i-002 とします。 
    {
  "Statement": [
    {
      "Action": "rds:*",
      "Effect":"Allow",
      "Resource": [
                  "acs:rds:*:*:dbinstance/i-001",
                  "acs:rds:*:*:dbinstance/i-002"
                  ]
    },
    {
      "Action": "rds:Describe*",
      "Effect":"Allow",
      "Resource": "*"
    }
  ],
  "Version": "1"
}
    • 権限付与された RAM ユーザーはすべての RDS インスタンスを表示できますが、操作できるのはそのうちの 2 つのみです。
    • ポリシーには Describe* 要素が必要です。 ポリシーに Describe* 要素が含まれていない場合、権限付与された RAM ユーザーはコンソールにインスタンスを表示できません。 ただし、RAM ユーザーは、API の呼び出し、CLI の使用、または RDS SDK の使用によって、指定された 2 つの RDS インスタンスを操作できます。
  • 例 2:RAM 管理者として、ユーザーに Alibaba Cloud Data Management System(DMS)のデータにアクセスする権限を付与します。
    • RAM ユーザーに 2 つの特定 RDS インスタンスへのアクセス権限を付与します。 
      {
  "Statement": [
    {
      "Action": "dms:LoginDatabase",
      "Effect": "Allow",
      "Resource": "acs:rds:*:*:dbinstance/rds783a0639ks5k7****"
    }
  ],
  "Version": "1"
}
      rds783a0639ks5k7 **** をアクセスする RDS インスタンスの ID に置き換える必要があります。
    • RAM ユーザーにすべての RDS インスタンスへのアクセス権限を付与します。 
      {
  "Statement": [
    {
      "Action": "dms:LoginDatabase",
      "Effect":"Allow",
      "Resource": "acs:rds:*:*:*"
    }
  ],
  "Version": "1"
}