在您第一次使用DTS时,需要您将名称为AliyunDTSDefaultRole的默认角色授权给DTS使用。经过授权后,DTS可访问当前云账号下的RDS、ECS等云资源,在执行数据迁移、同步或订阅任务的配置时可调用相关云资源信息。
注意事项
如果使用主账号登录数据传输控制台后,没有弹出提示授权的对话框,说明当前主账号已执行过授权,可跳过本文的操作。
权限策略说明
AliyunDTSDefaultRole权限策略是DTS服务默认角色的授权策略,包含RDS、ECS、PolarDB、MongoDB、Redis、PolarDB-X 云原生分布式数据库(原)、DataHub、Elasticsearch等云资源的部分管理权限,具体权限定义如下。
{
"Version": "1",
"Statement": [
{
"Action": [
"rds:Describe*",
"rds:CreateDBInstance",
"rds:CreateAccount*",
"rds:CreateDataBase*",
"rds:ModifySecurityIps",
"rds:GrantAccountPrivilege"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ecs:DescribeSecurityGroupAttribute",
"ecs:DescribeInstances",
"ecs:DescribeRegions",
"ecs:AuthorizeSecurityGroup"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"dhs:ListProject",
"dhs:GetProject",
"dhs:CreateTopic",
"dhs:ListTopic",
"dhs:GetTopic",
"dhs:UpdateTopic",
"dhs:ListShard",
"dhs:MergeShard",
"dhs:SplitShard",
"dhs:PutRecords",
"dhs:GetRecords",
"dhs:GetCursors"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"elasticsearch:DescribeInstance",
"elasticsearch:ListInstance",
"elasticsearch:UpdateAdminPwd",
"elasticsearch:UpdatePublicNetwork",
"elasticsearch:UpdateBlackIps",
"elasticsearch:UpdateKibanaIps",
"elasticsearch:UpdatePublicIps",
"elasticsearch:UpdateWhiteIps"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"drds:DescribeDrds*",
"drds:ModifyDrdsIpWhiteList",
"drds:DescribeRegions",
"drds:DescribeRdsList",
"drds:CeateDrdsDB",
"drds:DescribeShardDBs"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"polardb:DescribeDBClusterIPArrayList",
"polardb:DescribeDBClusterNetInfo",
"polardb:DescribeDBClusters",
"polardb:DescribeRegions",
"polardb:ModifySecurityIps"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"dds:DescribeDBInstanceAttribute",
"dds:DescribeReplicaSetRole",
"dds:DescribeSecurityIps",
"dds:DescribeDBInstances",
"dds:ModifySecurityIps",
"dds:DescribeRegions"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"kvstore:DescribeSecurityIps",
"kvstore:DescribeInstances",
"kvstore:DescribeRegions",
"kvstore:ModifySecurityIps"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"petadata:DescribeInstanceInfo",
"petadata:DescribeSecurityIPs",
"petadata:DescribeInstances",
"petadata:ModifySecurityIPs"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
说明 更多关于权限策略的介绍,请参见
权限策略语法和结构。
主账号授权步骤
- 在弹出的提示对话框中,单击前往RAM角色授权。
- 在弹出的云资源访问授权对话框中,单击同意授权。
子账号授权步骤
- 为子账号创建名为AliyunDTSDefaultRole的权限策略。
说明 RAM暂不支持直接为子账号授权该策略,您需要手动创建该策略,然后给子账号授权。
- 配置自定义策略信息。
配置 说明 策略名称 建议填入具备业务意义的名称以便后续识别。本案例中,填入AliyunDTSDefaultRole_自建。 备注(可选) 填入该策略的备注信息。 配置模式 DTS仅支持脚本配置,此处选择为脚本配置。 策略内容 本案例介绍自定义策略,此选项无需配置。 权限策略框 删除权限策略框中当前的内容,然后复制AliyunDTSDefaultRole的策略定义(详情请参见权限策略说明)并粘贴入权限策略框中。
- 配置自定义策略信息。
- 为子账号授予访问云资源的权限。
- 找到目标RAM用户,单击其操作列的添加权限。
- 单击刚创建自定义权限策略名称(本案例为AliyunDTSDefaultRole_自建),将其添加到已选择区域框中。
- 找到目标RAM用户,单击其操作列的添加权限。
