云数据库MongoDB版如何为RAM用户(子账号)授权

为细分账号权限,提升账号安全性,您可以通过访问控制RAM(Resource Access Management)将云数据库MongoDB的管理权限授权给RAM用户(子账号),使用RAM用户管理云数据库MongoDB实例。

前提条件

已创建RAM用户,如何创建,请参见创建RAM用户

RAM用户授权

  1. 使用RAM管理员登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 用户

  3. 用户页面,单击目标RAM用户操作列的添加权限

    image

    您也可以选中多个RAM用户,单击用户列表下方的添加权限,为RAM用户批量授权。

  4. 新增授权面板,为RAM用户添加权限。

    1. 选择资源范围。

    2. 选择授权主体。

      授权主体即需要添加权限的RAM用户。系统会自动选择当前的RAM用户。

    3. 选择权限策略。

      权限策略是一组访问权限的集合,分为以下两种。支持批量选中多条权限策略。

      • 系统策略:由阿里云创建,策略的版本更新由阿里云维护,用户只能使用不能修改。更多信息,请参见支持RAM的云服务

        说明

        系统会自动标识出高风险系统策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授权时,尽量避免授予不必要的高风险权限策略。

      • 自定义策略:由用户管理,策略的版本更新由用户维护。用户可以自主创建、更新和删除自定义策略。更多信息,请参见创建自定义权限策略

    4. 单击确认新增授权

  5. 单击关闭

系统权限策略

系统权限策略针对所有云数据库MongoDB资源进行RAM授权,云数据库MongoDB提供如下两种系统权限策略。
  • AliyunMongoDBFullAccess:为RAM用户授予云数据库MongoDB的完全管理权限。
  • AliyunMongoDBReadOnlyAccess:为RAM用户授予云数据库MongoDB的只读访问权限。

自定义RAM授权策略

您可以根据业务需求自定义授权策略,仅向RAM用户授予指定实例的具体操作权限。关于自定义授权策略语法,请参见Policy结构和语法

RAM授权MongoDB Resource的方式

目前RAM对云数据库MongoDB进行授权的资源类型仅支持dbinstance(实例)一种。在通过RAM进行授权时,可以在策略的Resource字段中进行描述,资源的描述方式如下。
资源类型授权策略中的资源描述方式
dbinstanceacs:dds:$regionid:$accountid:dbinstance/$dbinstanceid
参数说明如下。
参数名称说明
$regionid地域ID,可以用*表示。
$dbinstanceid实例ID,可以用*表示。
$accountid云账号的数字ID,可以用*表示。

可授权的Action

RAM中,您可以对一个云数据库MongoDB资源进行如下Action的授权。

Action功能描述
CreateDBInstance创建实例。
ModifyDBInstanceSpec变更实例配置。
DeleteDBInstance删除实例。
DescribeDBInstances查询实例。
RestartDBInstance重启实例。
DescribeSecurityIps查询白名单。
ModifySecurityIps修改白名单。
ResetAccountPassword重置密码。
DescribeBackupPolicy查询备份策略。
ModifyBackupPolicy修改备份策略。
CreateBackup创建备份。
RestoreDBInstance恢复实例。
DescribeAccounts查询账号信息。
DescribeDBInstancePerformance查询实例状态。
DescribeReplicaSetRole查询实例主从属性。
ModifyDBInstanceDescription修改实例描述。
ModifyAccountDescription修改账号信息。
DescribeDBInstanceAttribute查询实例属性。
RenewDBInstance续费实例。
ModifyDBInstanceNetworkType修改实例网络类型。