阿里云访问控制利用标签对RDS实例进行分组授权

前提条件

进行操作前，请确保您已经注册了阿里云账号。如还未注册，请先完成账号注册。

背景信息

假设您的账号购买了10个RDS实例，其中5个想要授权给dev团队，另外5个授权给ops团队。企业希望每个团队只能查看被授权的实例，未被授权的不允许查看。

利用标签对RDS分组授权的操作步骤

具体操作步骤请参见利用标签对ECS实例进行分组授权。

RDS相关自定义策略：

{
  "Statement": [
    {
      "Action": "rds:*",
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "rds:ResourceTag/team": "dev"
         }
       }
     },
    {
       "Action": "rds:DescribeTag*",
       "Effect": "Allow",
       "Resource": "*"
     }
  ],
  "Version": "1"
}

权限策略内容分为两部分：

• 其中带有Condition的"Action": "rds:*"部分用于过滤标签为"team": "dev"的资源。Condition部分的关键字为rds:ResourceTag。
• "Action": "rds:DescribeTag*"用于展示所有标签。当RAM用户在操作RDS控制台时，系统展示出所有标签供RAM用户选择，只有当RAM用户选择了标签值后，系统才能根据选中的标签值过滤相应资源。

更多信息

利用标签对RDS实例分组授权后，如果遇到RAM用户登录控制台报无权限的问题，请参见利用标签对RDS实例分组授权的常见问题。