跳到主要内容

配置阿里云访问凭证

NineData 支持将阿里云账号的 Access Key 或者角色录入到 NineData 控制台,用来为 NineData 创建私网连接的终端节点,查询私网连接(PrivateLink)、ECS、RDS、VPC、NAT 网关等一些必要信息,以建立 NineData 服务器与数据库之间的点对点网络连接。

权限说明

为确保 NineData 可以无障碍向您提供服务,您的阿里云访问凭证需要具备如下权限(以 JSON 权限脚本形式展现)。

{
    "Version":"1",
    "Statement":[
        {
            "Effect":"Allow",
            "Action":[
                "ecs:DescribeInstanceAttribute",
                "ecs:DescribeInstances",
                "ecs:DescribeSecurityGroups",
                "ecs:CreateSecurityGroup",
                "ecs:JoinSecurityGroup",
                "ecs:CreateSecurityGroup",
                "ecs:AuthorizeSecurityGroup",
                "ecs:JoinSecurityGroup",
                "ecs:CreateVSwitchRequest",
                "ecs:DescribeSecurityGroupAttribute"
            ],
            "Resource":"*"
        },
        {
            "Effect":"Allow",
            "Action":[
                "rds:DescribeDBInstanceAttribute",
                "rds:DescribeDBInstanceIPArrayList",
                "rds:DescribeDBInstanceNetInfo",
                "rds:DescribeDBInstances",
                "rds:ModifySecurityIps"
            ],
            "Resource":"*"
        },
        {
            "Effect":"Allow",
            "Action":[
                "vpc:DescribeVSwitches",
                "vpc:CreateVSwitch",
                "vpc:DescribeVpcs",
                "vpc:ListVpcEndpointServicesByEndUser"
            ],
            "Resource":"*"
        },
        {
            "Effect":"Allow",
            "Action":[
                "Privatelink:ListVpcEndpointZones",
                "privatelink:ListVpcEndpointConnections",
                "privatelink:CreateVpcEndpoint",
                "privatelink:ListVpcEndpoints",
                "privatelink:ListVpcEndpointServicesByEndUser"
            ],
            "Resource":"*"
        },
        {
            "Effect":"Allow",
            "Action":"vpc:DescribeVpcs",
            "Resource":"*"
        },
        {
            "Effect":"Allow",
            "Action":[
                "polardb:DescribeDBClusters",
                "polardb:DescribeDBClusterEndpoints"
            ],
            "Resource":"*"
        }
    ]
}
提示

如果您是 RAM 账号,请联系您的管理员,根据本文内容为您的 RAM 账号进行授权或授权一个角色供 NineData 使用。

步骤一:创建权限策略

  1. 登录阿里云 RAM 控制台,在创建权限策略页面单击脚本编辑页签。

  2. 复制本文权限说明中的权限脚本,粘贴到 RAM 控制台的文本框中,并单击继续编辑基本信息

  3. 基本信息区域,输入策略的名称,单击确定

    提示

    名称支持 1 ~ 128 个字符,可包含英文字母、数字和短划线(-)。

步骤二(可选):添加Access Key

直接通过 AccessKey ID 和 AccessKey Secret 访问您的阿里云资源。

  1. 登录阿里云 RAM 控制台,单击目标用户右侧操作列的添加权限

    提示

    该用户必须是需添加的 AccessKey 所属的用户。

  2. 添加权限页面,单击选择权限区域中的自定义策略,在下方找到并单击步骤一中创建的策略名称,此时该策略会自动出现在右侧的框内,单击确定,然后单击完成

  3. 将鼠标移动到页面右上角头像处,在弹出菜单中单击 AccessKey 管理,或直接单击此处进入 AccessKey 页面,单击创建 AccessKey,并在弹出的查看 Secret 窗口中记录 AccessKey IDAccessKey Secret,您也可以选择单击下载 CSV 文件下载记录了 AccessKey 信息的 CSV 文件,或单击复制把 AccessKey 信息复制到剪贴板。

    提示

    一个账号中最多可以创建 2 个 AccessKey,如果您已经创建了 2 个但是并未记录 AccessKey Secret,可以删除一个 AccessKey 并重新创建。删除 AccessKey 需要先单击禁用,然后再选择删除。删除时需要输入该 AccessKey ID 进行确认。

    警告:删除 AccessKey 可能会造成业务中断,请在删除前确保该 AccessKey 没有被任何业务使用。

  4. 登录 NineData 控制台,在左侧控制台单击数据源管理 > 云厂商访问凭证,单击右上角的创建凭证,根据下表进行配置,并单击创建凭证

    参数
    		说明
    凭证名称输入凭证名称。为了方便后续查找和管理,请尽量使用有意义的名称。
    云厂商单击阿里云
    凭证类型选择 Access Key
    Access Key输入步骤 3 中记录的 AccessKey ID
    Access Key Secret输入步骤 3 中记录的 AccessKey Secret

步骤三(可选):添加角色

授权 NineData 通过扮演您配置的阿里云角色访问您的阿里云资源。

  1. 登录阿里云 RAM 控制台,单击创建角色,在右侧弹出的窗口中,选择阿里云账号,并单击下一步

  2. 输入角色名称

    提示

    角色名称支持 1 ~ 64 个字符,可包含英文字母、数字和短划线(-)。

  3. 选择信任的云账号下方,选择其他云账号,将 NineData 的服务账号 1062166699324909 填入文本框中,并单击完成

    提示

    本步骤非常重要,目的是允许 NineData 通过扮演您创建的角色来访问您阿里云账号中的必要资源,以顺利向您提供服务。

  4. 单击为角色授权,在添加权限窗口中,单击选择权限区域中的自定义策略,在下方找到并单击步骤一中创建的策略名称,此时该策略会自动出现在右侧的框内,单击确定,然后单击完成

  5. 角色页面,单击刚创建的角色名称,进入角色的基本信息页面,在该页面中记录角色的 ARN,您可以直接单击 ARN 右侧的复制ARN 复制到剪贴板。

  6. 登录 NineData 控制台,在左侧控制台单击数据源管理 > 云厂商访问凭证,单击右上角的创建凭证,根据下表进行配置,并单击创建凭证

    参数
    		说明
    凭证名称输入凭证名称。为了方便后续查找和管理,请尽量使用有意义的名称。
    云厂商单击阿里云
    凭证类型选择角色
    角色名称输入上述步骤中创建的角色名称。
    ARN输入角色名称对应的 ARN

下一步

创建数据源

最后 更新