如何授权用户实现跨账号传输数据

数据库传输服务 DTS 支持跨火山引擎账号实现云账号间的资源迁移、同步或订阅。本文介绍如何在权限管理控制台给火山引擎账号授予跨账号传输的权限。

应用场景

本文以账号 A 和账号 B 为例，例如某企业下开通了两个火山引擎账号分别为 A 和 B，由于业务需求，需要将火山引擎账号 A 内的数据迁移、订阅或同步到火山引擎账号 B 内，具体流程如下：

1. A 账号登录火山引擎访问控制的控制台。
2. A 账号在访问控制的控制台内创建角色。
3. A 账号配置该角色的信任关系。
4. B 账号登录火山引擎的数据库传输服务 DTS 控制台。
5. B 账号在数据库传输服务 DTS 控制台内创建数据传输任务。

前提条件

• 已注册火山引擎账号并完成实名认证。关于账号的创建方法和实名认证，请参见如何进行账号注册和实名认证。

• 目标端所属的火山引擎账号已经授权 DTS 访问其他云资源。详细信息，请参见主账号权限管理。

• 已获取源端创建 DTS 任务的火山引擎云账号（主账号）ID。

注意事项

• 在传输任务结束前，请勿删除或修改角色的权限策略和信任关系，否则将影响任务的传输。
• 配置信任关系后，在创建数据传输任务时目标端的账号（本文以 B 为例）可以查看到源端账号（本文以 A 为例）内的所有实例。

操作步骤

1. 使用源端创建 DTS 任务的火山引擎账号登录访问控制控制台。

2. 创建角色。

   1. 在左侧导航栏，选择身份管理 > 角色。

   2. 在角色页面，单击创建角色。

   3. 在新建角色的选择信任身份配置向导页面，配置以下参数信息：

      参数	说明
      选择信任身份类型	单击服务。
      选择服务	从下拉列表中选择访问控制。

   4. 单击下一步。

   5. 在新建角色的配置角色信息配置向导页面，配置角色信息，具体如下表所示：

      参数	说明
      角色名	设置角色名称，角色的命名规则如下所示： 必须以 DTS_ 开头。 可以包含英文、数字、字符。字符可包含英文句号（.）、中划线（-）和下划线（_）。 长度不能超过 64 个字符。
      显示名	（可选）填写角色的显示名称，显示名不能超过 64 个字符。
      描述	（可选）填写角色的备注信息。
      标签	（可选）单击添加标签，输入标签键和标签值为角色添加标签。

   6. 单击下一步。

   7. 在新建角色的添加权限配置向导页面，配置以下权限策略：

      参数	说明
      选择策略	按需选择目标策略： RDSMySQLFullAccess：表示云数据库 MySQL 版全部管理权限。 VedbMysqlFullAccess：表示云数据库 veDB MySQL 版全部管理权限。 RedisFullAccess：表示缓存数据库 Redis 版全部管理权限。 MongoDBFullAccess：表示文档数据库 MongoDB 版全部管理权限。 RDSPGFullAccess：表示云数据库 PostgreSQL 版全部管理权限。
      作用范围	选择全局。

   8. 单击提交。

3. 配置角色的信任关系。

   1. 在左侧导航栏，选择身份管理 > 角色。

   2. 在角色页面，单击目标角色的名称。

   3. 在角色详情页面，单击信任关系。

   4. 在信任关系页签，单击编辑信任策略。

   5. 复制以下策略，并单击保存。

   {
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "sts:AssumeRole"
               ],
               "Principal": {
                   "IAM": [
                       "trn:iam::<dstAccount>:role/ServiceRoleForDTS"//dstAccount 需替换成目标端的账号 ID。
                   ]
               }
           }
       ]
   }
   

后续操作

完成以上配置后，您就可以在数据库传输服务 DTS 控制台创建跨账号进行迁移、订阅或同步：

• 迁移方案概览

• 同步方案概览

• 订阅方案概览