为细分账号权限,提升账号安全性,您可以通过访问控制RAM(Resource Access Management)将云数据库MongoDB的管理权限授权给RAM用户(子账号),使用RAM用户管理云数据库MongoDB实例。

前提条件

已创建RAM用户,如何创建,请参见创建RAM用户

为RAM用户授权

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 用户
  3. 用户页面,单击目标RAM用户操作列的添加权限
  4. 添加权限面板,为RAM用户添加权限。
    1. 选择授权应用范围。
      • 整个云账号:权限在当前阿里云账号内生效。
      • 指定资源组:权限在指定的资源组内生效。
        说明 指定资源组授权生效的前提是该云服务已支持资源组。更多信息,请参见支持资源组的云服务
    2. 输入授权主体。
      授权主体即需要授权的RAM用户,系统会自动填入当前的RAM用户,您也可以添加其他RAM用户。
    3. 选择权限策略。
      说明 每次最多绑定5条策略,如需绑定更多策略,请分次操作。
  5. 单击确定
  6. 单击完成

系统权限策略

系统权限策略针对所有云数据库MongoDB资源进行RAM授权,云数据库MongoDB提供如下两种系统权限策略。
  • AliyunMongoDBFullAccess:为RAM用户授予云数据库MongoDB的完全管理权限。
  • AliyunMongoDBReadOnlyAccess:为RAM用户授予云数据库MongoDB的只读访问权限。

自定义RAM授权策略

您可以根据业务需求自定义授权策略,仅向RAM用户授予指定实例的具体操作权限。关于自定义授权策略语法,请参见Policy结构和语法

RAM授权MongoDB Resource的方式

目前RAM对云数据库MongoDB进行授权的资源类型仅支持dbinstance(实例)一种。在通过RAM进行授权时,可以在策略的Resource字段中进行描述,资源的描述方式如下。
资源类型 授权策略中的资源描述方式
dbinstance acs:dds:$regionid:$accountid:dbinstance/$dbinstanceid
参数说明如下。
参数名称 说明
$regionid 地域ID,可以用*表示。
$dbinstanceid 实例ID,可以用*表示。
$accountid 云账号的数字ID,可以用*表示。

可授权的Action

在RAM中,您可以对一个云数据库MongoDB资源进行如下Action的授权。

Action 功能描述
CreateDBInstance 创建实例。
ModifyDBInstanceSpec 变更实例配置。
DeleteDBInstance 删除实例。
DescribeDBInstances 查询实例。
RestartDBInstance 重启实例。
DescribeSecurityIps 查询白名单。
ModifySecurityIps 修改白名单。
ResetAccountPassword 重置密码。
DescribeBackupPolicy 查询备份策略。
ModifyBackupPolicy 修改备份策略。
CreateBackup 创建备份。
RestoreDBInstance 恢复实例。
DescribeAccounts 查询账号信息。
DescribeDBInstancePerformance 查询实例状态。
DescribeReplicaSetRole 查询实例主从属性。
ModifyDBInstanceDescription 修改实例描述。
ModifyAccountDescription 修改账号信息。
DescribeDBInstanceAttribute 查询实例属性。
RenewDBInstance 续费实例。
ModifyDBInstanceNetworkType 修改实例网络类型。