子账号权限管理
可授权RDS Action 和对应资源
RDS资源描述格式形如: comb:rds:${region}:*:${resourceType}/${resourceId}。各元素说明如下:
Note
1.${region}: 表示分区名称,目前支持 * 、cn-east-1、cn-east-3,其中 * 表示所有分区,cn-east-1 表示华东1分区,cn-east-3 表示华东3分区
2.${resourceType}: 表示资源类型,目前支持 * 、instance,其中 * 表示所有类型,instance表示云数据库资源
3.${resourceId}: 表示资源id,对于云数据库(instance)资源id即该资源的名称,可以通过相关查询资源信息接口获得
| Action | Action 描述 | 资源 |
|---|---|---|
| comb:rds:ChangeDBAccountPassword | 修改帐号密码 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:CreateDatabase | 创建数据库 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:CreateDBAccount | 创建帐号 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:CreateDBSnapshot | 创建备份 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:CreateOnlineSchemaChange | 创建在线修改表结构 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:DeleteDatabase | 删除数据库 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:DeleteDBAccount | 删除帐号 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:DeleteDBInstance | 删除实例 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:DescribeAccountPrivileges | 查询帐号权限 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:DescribeDatabaseList | 查询数据库列表 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:DescribeDBAccount | 查询数据库帐号 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:DescribeDBParameters | 查询数据库参数 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:DescribeDBSnapshots | 查询备份列表 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:DescribeImportMigrateInfo | 查询实例迁移信息 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:DescribeOnlineSchemaChange | 查询在线修改表结构 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:DescribeOnlineSchemaChangeProgress | 查询在线修改表结构进度 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:GrantPrivileges | 为数据库帐户授权 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:ImportDBRetry | 外部实例迁移重试 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:ImportGetMigrateInfo | 查询实例迁移信息 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:ImportGetProgress | 查询实例迁移进度 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:ModifyDBInstance | 修改实例配置 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:ModifyDBInstanceIOPS | 修改实例iops | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:ModifyDBInstanceNetworkType | 修改实例网络类型 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:PromoteReadReplica | 提升只读实例 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:RebootDBInstance | 重启实例 | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:SetDBInstancePublicFloatingIp | 启停实例外网ip | comb:rds:${region}:*:instance/${instanceName} |
| comb:rds:StopImportDB | 停止迁移实例 | comb:rds:${region}:*:instance/${instanceName} |
Attention
以上 Action 仅指一次功能操作,web页面某些操作实际是多种Action的集合,比如在 web 页面上修改帐号权限 ,实际需要执行查询数据库帐号(comb:rds::DescribeDBAccount)、查询数据库列表(comb:rds::DescribeDataBase)和为数据库帐号授权(comb:rds:GrantPrivileges)三个 Action。请注意赋予子账号合适的权限。
RDS API 接口和对应的RDS Action
Note
查询实例(GET /api/v1/rds/instances)、创建实例(POST /api/v1/rds/instances)接口和删除备份(DELETE /api/v1/rds/snapshots)接口目前没有接入SAM,默认对所有子账号开放。
| API | Action 描述 | Action |
|---|---|---|
| DELETE /api/v1/rds/instances | 删除RDS实例 | comb:rds:DeleteDBInstance |
| POST /api/v1/rds/accounts | 创建帐号 | comb:rds:CreateDBAccount |
| GET /api/v1/rds/accounts | 获取帐号列表 | comb:rds:DescribeDBAccount |
| PUT /api/v1/rds/accounts | 修改帐号密码 | comb:rds:ChangeDBAccountPassword |
| GET /api/v1/rds/privileges | 查看帐号权限 | comb:rds:DescribeAccountPrivileges |
| PUT /api/v1/rds/privileges | 修改帐号权限 | comb:rds:GrantPrivileges |
| DELETE /api/v1/rds/accounts | 删除帐号 | DELETE /api/v1/rds/accounts |
| POST /api/v1/rds/databases | 创建数据库 | comb:rds:CreateDatabase |
| GET /api/v1/rds/databases | 获取数据库列表 | comb:rds:DescribeDatabaseList |
| DELETE /api/v1/rds/databases | 删除数据库 | comb:rds:DeleteDatabase |
| POST /api/v1/rds/snapshots | 创建备份 | comb:rds:CreateDBSnapshot |
| GET /api/v1/rds/snapshots | 查询备份 | comb:rds:DescribeDBSnapshots |
策略管理
RDS 管理权限 (RdsFullAccess) 包括如下 Action:
- comb:rds:ChangeDBAccountPassword
- comb:rds:CreateDatabase
- comb:rds:CreateDBAccount
- comb:rds:AttachKeyPair
- comb:rds:CreateDBSnapshot
- comb:rds:CreateOnlineSchemaChange
- comb:rds:DeleteDatabase
- comb:rds:DeleteDBAccount
- comb:rds:DeleteDBInstance
- comb:rds:GrantPrivileges
- comb:rds:ImportDBRetry
- comb:rds:ModifyDBInstance
- comb:rds:ModifyDBInstanceIOPS
- comb:rds:ModifyDBInstanceNetWorkType
- comb:rds:PromoteReadReplica
- comb:rds:RebootDBInstance
- comb:rds:SetDBInstancePublicFloatingIp
- comb:rds:StopImportDB
RDS 只读权限 (RdsReadOnlyAccess) 包括如下 Action:
- comb:rds:DescribeAccountPrivileges
- comb:rds:DescribeDatabaseList
- comb:rds:DescribeDBAccount
- comb:rds:DescribeDBParameters
- comb:nvm:DescribeInstances
- comb:rds:DescribeDBSnapshots
- comb:rds:DescribeImportMigrateInfo
- comb:rds:DescribeOnlineSchemaChange
- comb:rds:DescribeOnlineSchemaChangeProgress
- comb:rds:ImportGetMigrateInfo
- comb:rds:ImportGetProgress
