摘要(Abstract)
通过使用阿里云的RAM(Resource Access Management)服务,您可以将您云账号下RDS资源的访问及管理权限授予RAM中的子用户。 目前,可以在RAM中进行授权的资源类型只有dbinstance。在通过RAM进行授权时,资源的描述方式如下: 当子用户通过API访问RDS时,RDS后台会向RAM进行权限检查,以确保调用者拥有相应权限。每个API会根据涉及到的资源以及API的语义来确定需要检查哪些资源的权限。每个API的鉴权规则如下表所示: sts权限 加入收藏 上面章节只用到了 RAM 的子账号功能,这些子账号都是可以长期正常使用的,发生泄露后如果无法及时解除权限,会非常危险。 当开发者的 app 被用户使用之后,用户的数据要写入 ram-test-dev 这个实例。当 app 的用户数据很多时,要求能够安全地授权给众多的 app 用户上传数据,并且保证多个用户之间存储的隔离。 类似这种场景需要临时访问权限,应该使用 STS 来完成。STS 可以指定复杂的策略来对特定的用户进行限制,仅提供最小的权限。 创建角色 创建一个名为 ram_test_app 的子账号,不需要赋予任何权限,因为在扮演角色的时候会自动获得被扮演角色的所有权限。有关创建RAM用户更多详情,请参见使用示例中的步骤1至步骤7。 创建两个角色,RamTestAppReadOnly 和 RamTestAppWrite。一个用于读取等操作,一个用于上传文件的操作。 登录RAM 控制台。 选择角色管理 > 新建角色。 选择角色类型。这里选择用户角色。 填写类型信息。因为角色是被阿里云账号使用过的,因此选择默认的即可。然后单击下一步。 配置角色基本信息。本实例中角色名称填写 RamTestAppReadOnly,然后单击创建。 完成角色创建后,单击关闭。 创建完角色之后,角色是没有任何权限的,因此需要新建一个自定义的授权策略。 选择策略管理 > 新建授权策略。 选择空白模板。 填写授权策略名称。该示例中填写ram-test-app-readonly,策略内容填写如下:
主题(Topic)
项目(Project)
网站一级标题
文章一级标题
文章二级标题
文章作者 文章发表时间
我是帅哥,我是帅哥,我是帅哥,我是帅哥,我是帅哥,我是帅哥,我是帅哥,我是帅哥,我是帅哥,我是帅哥我是帅哥,我是帅哥。 我是帅哥,我是帅哥,我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥
我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥
我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥 我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥
另一篇文章一级标题
文章二级标题
文章作者 文章发表时间
我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥
我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥 我是帅哥我是帅哥我是帅哥我是帅哥我是帅哥
- 列表项目一
- 列表项目二
- 列表项目三
图片
好看的图片
好看的图片
好看的图片
好看的图片
好看的图片
好看的图片
好看的图片
好看的图片
好看的图片
好看的图片
最后一篇文章一级标题
文章二级标题
文章作者 文章发表时间
- 排名1
- 排名2
- 排名3
| 表头 | 表头 | 表头 |
|---|---|---|
| 百度前端技术学院 | 百度前端技术学院 | 不错 |
| 百度前端技术学院 | 百度前端技术学院 | 不错 |
| 百度前端技术学院 | 百度前端技术学院 | 不错 |
| 百度前端技术学院 | 百度前端技术学院 | 不错 |
| 总计 | 1000 | |