全部產品
Search
文件中心

ApsaraDB for MongoDB:ApsaraDB for MongoDB如何為RAM使用者(子帳號)授權

更新時間:Feb 28, 2024

為細分帳號許可權,提升帳號安全性,您可以通過存取控制RAM(Resource Access Management)將ApsaraDB for MongoDB的系統管理權限授權給RAM使用者(子帳號),使用RAM使用者管理ApsaraDB for MongoDB執行個體。

前提條件

已建立RAM使用者,如何建立,請參見建立RAM使用者

為RAM使用者授權

  1. 使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇身份管理 > 使用者

  3. 使用者頁面,單擊目標RAM使用者操作列的添加許可權

  4. 添加許可權面板,為RAM使用者添加許可權。

    1. 選擇授權應用範圍。

    2. 指定授權主體。

      授權主體即需要添加許可權的RAM使用者。

    3. 選擇權限原則。

      權限原則是一組存取權限的集合,包括:

      • 系統策略:由阿里雲建立,策略的版本更新由阿里雲維護,使用者只能使用不能修改。更多資訊,請參見支援RAM的雲端服務

      • 自訂策略:由使用者管理,策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。更多資訊,請參見建立自訂權限原則

      說明

      每次最多綁定5條策略,如需綁定更多策略,請分多次操作。

  5. 單擊確定

  6. 單擊完成

系統權限原則

系統權限原則針對所有ApsaraDB for MongoDB資源進行RAM授權,ApsaraDB for MongoDB提供如下兩種系統權限原則。
  • AliyunMongoDBFullAccess:為RAM使用者授予ApsaraDB for MongoDB的完全系統管理權限。
  • AliyunMongoDBReadOnlyAccess:為RAM使用者授予ApsaraDB for MongoDB的唯讀存取權限。

自訂RAM授權策略

您可以根據業務需求自訂授權策略,僅向RAM使用者授予指定執行個體的具體操作許可權。關於自訂授權策略文法,請參見Policy結構和文法

RAM授權MongoDB Resource的方式

目前RAM對ApsaraDB for MongoDB進行授權的資源類型僅支援dbinstance(執行個體)一種。在通過RAM進行授權時,可以在策略的Resource欄位中進行描述,資源的描述方式如下。
資源類型授權策略中的資源描述方式
dbinstanceacs:dds:$regionid:$accountid:dbinstance/$dbinstanceid
參數說明如下。
參數名稱說明
$regionid地區ID,可以用*表示。
$dbinstanceid執行個體ID,可以用*表示。
$accountid雲帳號的數字ID,可以用*表示。

可授權的Action

在RAM中,您可以對一個ApsaraDB for MongoDB資源進行如下Action的授權。

Action功能描述
CreateDBInstance建立執行個體。
ModifyDBInstanceSpec變更執行個體配置。
DeleteDBInstance刪除執行個體。
DescribeDBInstances查詢執行個體。
RestartDBInstance重啟執行個體。
DescribeSecurityIps查詢白名單。
ModifySecurityIps修改白名單。
ResetAccountPassword重設密碼。
DescribeBackupPolicy查詢備份策略。
ModifyBackupPolicy修改備份策略。
CreateBackup建立備份。
RestoreDBInstance恢複執行個體。
DescribeAccounts查詢帳號資訊。
DescribeDBInstancePerformance查詢執行個體狀態。
DescribeReplicaSetRole查詢執行個體主從屬性。
ModifyDBInstanceDescription修改執行個體描述。
ModifyAccountDescription修改帳號資訊。
DescribeDBInstanceAttribute查詢執行個體屬性。
RenewDBInstance續約執行個體。
ModifyDBInstanceNetworkType修改執行個體網路類型。