為細分帳號許可權,提升帳號安全性,您可以通過存取控制RAM(Resource Access Management)將ApsaraDB for MongoDB的系統管理權限授權給RAM使用者(子帳號),使用RAM使用者管理ApsaraDB for MongoDB執行個體。
前提條件
已建立RAM使用者,如何建立,請參見建立RAM使用者。
為RAM使用者授權
使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在使用者頁面,單擊目標RAM使用者操作列的添加許可權。
在添加許可權面板,為RAM使用者添加許可權。
選擇授權應用範圍。
整個雲帳號:許可權在當前阿里雲帳號內生效。
指定資源群組:許可權在指定的資源群組內生效。
說明指定資源群組授權生效的前提是該雲端服務已支援資源群組,詳情請參見支援資源群組的雲端服務。資源群組授權樣本,請參見使用資源群組限制RAM使用者管理指定的ECS執行個體。
指定授權主體。
授權主體即需要添加許可權的RAM使用者。
選擇權限原則。
權限原則是一組存取權限的集合,包括:
系統策略:由阿里雲建立,策略的版本更新由阿里雲維護,使用者只能使用不能修改。更多資訊,請參見支援RAM的雲端服務。
自訂策略:由使用者管理,策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。更多資訊,請參見建立自訂權限原則。
說明每次最多綁定5條策略,如需綁定更多策略,請分多次操作。
單擊確定。
單擊完成。
系統權限原則
系統權限原則針對所有ApsaraDB for MongoDB資源進行RAM授權,ApsaraDB for MongoDB提供如下兩種系統權限原則。
- AliyunMongoDBFullAccess:為RAM使用者授予ApsaraDB for MongoDB的完全系統管理權限。
- AliyunMongoDBReadOnlyAccess:為RAM使用者授予ApsaraDB for MongoDB的唯讀存取權限。
自訂RAM授權策略
您可以根據業務需求自訂授權策略,僅向RAM使用者授予指定執行個體的具體操作許可權。關於自訂授權策略文法,請參見Policy結構和文法。
RAM授權MongoDB Resource的方式
目前RAM對ApsaraDB for MongoDB進行授權的資源類型僅支援dbinstance(執行個體)一種。在通過RAM進行授權時,可以在策略的
Resource欄位中進行描述,資源的描述方式如下。| 資源類型 | 授權策略中的資源描述方式 |
| dbinstance | acs:dds:$regionid:$accountid:dbinstance/$dbinstanceid |
參數說明如下。
| 參數名稱 | 說明 |
$regionid | 地區ID,可以用*表示。 |
$dbinstanceid | 執行個體ID,可以用*表示。 |
$accountid | 雲帳號的數字ID,可以用*表示。 |
可授權的Action
在RAM中,您可以對一個ApsaraDB for MongoDB資源進行如下Action的授權。
| Action | 功能描述 |
| CreateDBInstance | 建立執行個體。 |
| ModifyDBInstanceSpec | 變更執行個體配置。 |
| DeleteDBInstance | 刪除執行個體。 |
| DescribeDBInstances | 查詢執行個體。 |
| RestartDBInstance | 重啟執行個體。 |
| DescribeSecurityIps | 查詢白名單。 |
| ModifySecurityIps | 修改白名單。 |
| ResetAccountPassword | 重設密碼。 |
| DescribeBackupPolicy | 查詢備份策略。 |
| ModifyBackupPolicy | 修改備份策略。 |
| CreateBackup | 建立備份。 |
| RestoreDBInstance | 恢複執行個體。 |
| DescribeAccounts | 查詢帳號資訊。 |
| DescribeDBInstancePerformance | 查詢執行個體狀態。 |
| DescribeReplicaSetRole | 查詢執行個體主從屬性。 |
| ModifyDBInstanceDescription | 修改執行個體描述。 |
| ModifyAccountDescription | 修改帳號資訊。 |
| DescribeDBInstanceAttribute | 查詢執行個體屬性。 |
| RenewDBInstance | 續約執行個體。 |
| ModifyDBInstanceNetworkType | 修改執行個體網路類型。 |