环境准备与账号注册:AWS 账号注册与 IAM 权限配置、Azure 订阅创建、阿里云 RAM 用户授权

说实话,做 Serverless 数据库的第一步,往往不是写代码,而是搞定云账号。我见过太多新手在环境准备上卡壳,一卡就是半天。今天咱们就把 AWS、Azure、阿里云这三家的准备工作一次性捋清楚。

AWS 账号注册与 IAM 权限配置

先聊 AWS。注册账号其实不难,难的是权限管理。我个人习惯是:永远不要用根账号干日常活。为什么?因为根账号权限太大,一旦泄露,整个云上资产就没了。

注册步骤

  1. 打开 aws.amazon.com,点击「创建 AWS 账号」
  2. 输入邮箱和密码,选择「个人」或「企业」
  3. 填写账单信息(信用卡是必须的,但免费套餐够你玩一年)
  4. 验证手机号,完成注册
⚠️ 注意:注册完成后,系统会发一封确认邮件。记得去收件箱找找,有时候会被丢进垃圾箱。

IAM 用户创建

注册完第一件事是什么?创建 IAM 用户。我在项目中遇到过有人直接用根账号跑了半年,结果某天误删了 S3 存储桶,数据全没了。嗯,从那以后我每次新开账号,第一件事就是配 IAM。

# 创建 IAM 用户的简化流程
1. 登录 AWS 控制台,搜索 IAM
2. 点击「用户」→「创建用户」
3. 输入用户名,勾选「控制台访问」
4. 设置密码(建议自动生成)
5. 附加策略:直接选 AdministratorAccess(开发环境)
6. 创建完成,下载 .csv 凭证文件
💡 我的建议:生产环境别用 AdministratorAccess。按需分配权限,比如只给 DynamoDB 和 Lambda 的权限。你想想看,一个只负责写代码的人,为什么要给他 EC2 的删除权限?

Azure 订阅创建

Azure 的账号体系跟 AWS 不太一样。它多了一层「订阅」的概念。说白了,订阅就是你的账单容器,所有资源都跑在订阅下面。

创建流程

  1. 访问 portal.azure.com,用微软账号登录
  2. 点击「订阅」→「添加」
  3. 选择套餐(免费试用或即用即付)
  4. 填写订阅名称,比如「dev-subscription」
  5. 确认并创建

这里有个坑:Azure 免费试用只有 12 个月,而且有 200 美元的额度。我曾经有个项目,团队忘了关资源,一个月就烧掉了 150 美元。所以,记得设置预算警报

Azure RBAC 权限配置

Azure 的权限模型叫 RBAC(基于角色的访问控制)。跟 IAM 类似,但更细粒度。我建议你创建两个角色:

角色 适用场景 权限范围
Contributor 开发人员日常使用 可以创建和管理资源,但不能分配权限
Owner 架构师或管理员 完全控制,包括权限管理
🔑 关键点:Azure 的权限是继承的。你在订阅级别分配了 Contributor,那么该订阅下所有资源组都会继承这个权限。别在资源组级别重复分配,容易乱。

阿里云 RAM 用户授权

阿里云的 RAM(资源访问管理)跟 AWS 的 IAM 很像,但有些细节不同。我最早用阿里云的时候,就被 RAM 的策略语法搞晕过。后来发现,其实它支持可视化编辑,不用手写 JSON。

创建 RAM 用户

  1. 登录阿里云控制台,搜索 RAM
  2. 点击「用户」→「创建用户」
  3. 填写登录名称和显示名称
  4. 勾选「控制台访问」和「编程访问」
  5. 设置密码(建议用自动生成的复杂密码)
  6. 点击确定,保存 AccessKey ID 和 Secret
⚠️ 重要提醒:AccessKey Secret 只在创建时显示一次。关闭页面后就再也看不到了。我曾经有个同事,创建完直接关了浏览器,结果第二天找我要 Secret...嗯,只能重新创建。

授权策略

阿里云的策略分两种:系统策略和自定义策略。对于 Serverless 数据库,我一般这样配:

# 推荐的最小权限策略(以表格存储为例)
{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ots:GetRow",
        "ots:PutRow",
        "ots:UpdateRow",
        "ots:DeleteRow",
        "ots:GetRange"
      ],
      "Resource": "acs:ots:*:*:instance/my-instance/*"
    }
  ]
}

你想想看,如果只做数据读写,为什么要给 DropTable 的权限?这就是最小权限原则。我在项目中遇到过有人给了 FullAccess,结果测试环境被误删了整张表。从那以后,我坚持用自定义策略。

三朵云对比总结

维度 AWS Azure 阿里云
账号体系 根账号 + IAM Azure AD + 订阅 主账号 + RAM
权限模型 IAM Policy RBAC RAM Policy
免费额度 12 个月,有限制 12 个月,200 美元 3 个月,部分产品免费
最小权限 支持良好 支持良好 支持良好
💡 个人经验:不管用哪家云,都建议创建一个「只读用户」给团队成员查看资源。这样既不影响开发,又能避免误操作。我团队里现在每个人都有一个只读账号和一个开发账号,分开用,安全又省心。

好了,环境准备这块就聊到这儿。说白了,账号注册只是第一步,权限配置才是重头戏。别嫌麻烦,前期配好了,后面能省下无数个「哎呀,我怎么删了」的尴尬时刻。