きめ細かなアクセス制御を実装し、アカウントのセキュリティを向上させるため、Resource Access Management (RAM) を使用して ApsaraDB for MongoDB の管理権限を RAM ユーザーに付与します。 これにより、RAM ユーザーは ApsaraDB for MongoDB を管理できます。
前提条件
RAM ユーザーを作成します。 詳細については、「RAM ユーザーの作成」をご参照ください。
RAM ユーザーへの権限付与
にログインします。RAMコンソールRAM管理者として
左側のナビゲーションウィンドウで、 を選択します。
On theユーザーページで必要なRAMユーザーを見つけ、権限の追加で、アクション列を作成します。
複数のRAMユーザーを選択し、ページ下部の [権限の追加] をクリックして、RAMユーザーに一度に権限を付与することもできます。
では、権限付与パネルで、RAMユーザーに権限を付与します。
Resource Scopeパラメーターを設定します。
アカウント: 権限付与は、現在のAlibaba Cloudアカウントで有効になります。
リソースグループ: 権限付与は、特定のリソースグループに対して有効になります。
重要[リソーススコープ] パラメーターで [リソースグループ] を選択した場合、必要なクラウドサービスがリソースグループをサポートしていることを確認します。 詳細については、「リソースグループで動作するサービス」をご参照ください。 リソースグループに権限を付与する方法の詳細については、「リソースグループを使用してRAMユーザーに特定のECSインスタンスを管理する権限を付与する」をご参照ください。
Principalパラメーターを設定します。
プリンシパルは、権限を付与するRAMユーザーです。 現在のRAMユーザーが自動的に選択されます。
Policyパラメーターを設定します。
ポリシーには、一連の権限が含まれています。 ポリシーは、システムポリシーとカスタムポリシーに分類できます。 一度に複数のポリシーを選択できます。
システムポリシー: Alibaba Cloudによって作成されたポリシー。 これらのポリシーは使用できますが、変更することはできません。 ポリシーのバージョン更新は、Alibaba Cloudによって管理されます。 詳細については、「RAMで動作するサービス」をご参照ください。
説明システムは、AdministratorAccessやAliyunRAMFullAccessなどのリスクの高いシステムポリシーを自動的に識別します。 リスクの高いポリシーをアタッチして、不要な権限を付与しないことを推奨します。
カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。 カスタムポリシーを作成、更新、削除できます。 詳細については、「カスタムポリシーの作成」をご参照ください。
[権限付与] をクリックします。
クリック閉じる.
システムポリシー
- AliyunMongoDBFullAccess: ApsaraDB for MongoDBの完全な管理権限をRAMユーザーに付与します。
- AliyunMongoDBReadOnlyAccess: RAMユーザーにApsaraDB for MongoDBの読み取り専用権限を付与します。
カスタムポリシー
カスタムポリシーを使用して、RAMユーザーに特定のインスタンスに対する特定の操作権限を付与することもできます。 カスタムポリシーの構文については、「ポリシー構造と構文」をご参照ください。
RAM による ApsaraDB for MongoDB リソースに対する権限付与
[リソース] フィールドにリソースを記述できます。 | リソースタイプ | ポリシーのリソースの説明 |
| dbinstance | acs:dds:$regionid:$accountid:dbinstance/$dbinstanceid |
| パラメーター | 説明 |
$regionid | リージョン ID です。 この値は、ワイルドカードアスタリスク (*) に設定できます。 |
$dbinstanceid | インスタンス ID 。 この値は、ワイルドカードアスタリスク (*) に設定できます。 |
$accountid | Alibaba CloudアカウントのID。 この値は、ワイルドカードアスタリスク (*) に設定できます。 |
RAMユーザーが呼び出す権限を付与できる操作
RAMコンソールでは、ApsaraDB for MongoDBリソースに対して次の操作を呼び出す権限をRAMユーザーに付与できます。
| API 操作 | 説明 |
| CreateDBInstance | ApsaraDB for MongoDBインスタンスを作成します。 |
| ModifyDBInstanceSpec | ApsaraDB for MongoDBインスタンスの設定を変更します。 |
| DeleteDBInstance | ApsaraDB for MongoDBインスタンスを削除します。 |
| DescribeDBInstances | ApsaraDB for MongoDBインスタンスを照会します。 |
| RestartDBInstance | ApsaraDB for MongoDB インスタンスを再起動します。 |
| DescribeSecurityIps | ApsaraDB for MongoDBインスタンスのホワイトリストを照会します。 |
| ModifySecurityIps | ApsaraDB for MongoDBインスタンスのホワイトリストを変更します。 |
| ResetAccountPassword | ApsaraDB for MongoDBインスタンスのアカウントパスワードをリセットします。 |
| DescribeBackupPolicy | ApsaraDB for MongoDB インスタンスのバックアップポリシーを照会します。 |
| ModifyBackupPolicy | ApsaraDB for MongoDB インスタンスのバックアップポリシーを変更します。 |
| CreateBackup | ApsaraDB for MongoDBインスタンスのバックアップを作成します。 |
| RestoreDBInstance | ApsaraDB for MongoDBインスタンスのデータを復元します。 |
| DescribeAccounts | ApsaraDB for MongoDB インスタンスのデータベースアカウントを照会します。 |
| DescribeDBInstancePerformance | ApsaraDB for MongoDBインスタンスの状態を照会します。 |
| DescribeReplicaSetRole | ApsaraDB for MongoDBインスタンスのプライマリ /セカンダリ属性を照会します。 |
| ModifyDBInstanceDescription | ApsaraDB for MongoDBインスタンスの説明を変更します。 |
| ModifyAccountDescription | ApsaraDB for MongoDBインスタンスのデータベースアカウントを変更します。 |
| DescribeDBInstanceAttribute | ApsaraDB for MongoDBインスタンスの属性を照会します。 |
| RenewDBInstance | ApsaraDB for MongoDBインスタンスを更新します。 |
| ModifyDBInstanceNetworkType | ApsaraDB for MongoDBインスタンスのネットワークタイプを変更します。 |