在使用云数据库MongoDB的审计日志时,云数据库MongoDB会自动创建AliyunServiceRoleForMongoDB角色,并自动实现日志服务对云数据库MongoDB的授权。经过授权后,云数据库MongoDB可访问当前阿里云账号下日志服务产品的相关资源。
背景信息
服务关联角色的介绍请参见服务关联角色。
说明 服务关联角色的权限策略由关联的云服务定义和使用,您不能修改或删除权限策略,也不能为服务关联角色添加或移除权限。
查看角色详情
- 登录RAM控制台。
- 在左侧导航栏,单击 。
- 在文本框中输入AliyunServiceRoleForMongoDB,单击
。
- 单击角色名称列的AliyunServiceRoleForMongoDB,查看角色的详细信息。
角色说明
- 角色名称:AliyunServiceRoleForMongoDB。
- 权限策略名称:AliyunServiceRolePolicyForMongoDB。
- 权限策略说明:允许云数据库MongoDB访问审计日志中的相关资源、允许删除服务关联角色。
- 查看方法
您可以在权限管理页面,单击AliyunServiceRoleForMongoDB后,在策略内容页面查看。
- 语法
关于权限策略的语法说明,请参见权限策略语法和结构。
- 详细内容
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Resource": "acs:log:*:*:project/nosql-*", "Action": [ "log:GetLogstoreLogs", "log:ListLogStores", "log:GetLogStore", "log:GetIndex", "log:GetLogstoreHistogram", "log:GetConfig", "log:ListConfig", "log:GetDashboard", "log:ListDashboard", "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex", "log:CreateDashboard", "log:UpdateDashboard", "log:CreateSavedSearch", "log:UpdateSavedSearch", "log:CreateProject" ] }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "mongodb.aliyuncs.com" } } } ] }
- 查看方法
删除AliyunServiceRoleForMongoDB
常见问题
Q:为什么我的RAM用户(子账号)无法自动创建AliyunServiceRoleForMongoDB?
A:您的RAM用户需要拥有AliyunMongoDBFullAccess权限,才能自动创建或删除AliyunServiceRoleForMongoDB。因此,在RAM用户无法自动创建AliyunServiceRoleForMongoDB时,您需为其添加以下权限策略,添加方法请参见创建自定义权限策略。
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "mongodb.aliyuncs.com"
}
}
}