MongoDB RAM 鉴权概述
通过云帐号创建的MongoDB实例,默认情况下帐号对所属资源拥有完整的操作权限。
使用阿里云的RAM(Resource Access Management)服务,您可以将您云账号下MongoDB资源的访问及管理权限授予RAM中子用户。目前,MongoDB RAM授权的基本单位为实例。
鉴权步骤
进入访问控制RAM管理控制台
在访问控制RAM管理控制台单击[backcolor=transparent]策略管理打开[backcolor=transparent]授权策略管理界面,如下图所示:

单击[backcolor=transparent]新建授权策略打开[backcolor=transparent]创建授权策略对话框,设置授权策略,如下所示:

创建群组并授权

您也可以先在RAM中选择MongoDB的系统授权策略或自定义授权策略为群组授权。

创建用户并加入群组

您可以直接对用户进行MongoDB授权,同时也可以将用户加入已经授权MongoDB操作权限的组。

用户登录访问
授权完成后,原用户仍按照传统方式登录。RAM子用户通过如下链接登录,登录后即可访问授权的资源。

自定义 MongoDB RAM 策略
策略解析
通过RAM用户可以自定义授权策略,更加安全高效的管理MongoDB实例。阿里云提供了系统授权策略,用户可以参照构建自定义策略。如下策略为只读访问云数据库服务(MongoDB)的权限。
{
“Version”: “1”,
“Statement”: [
{
“Action”: “dds:Describe“,
“Resource”: ““,
“Effect”: “Allow”
},
{
“Action”: [
“vpc:DescribeVpcs”,
“vpc:DescribeVSwitches”
],
“Resource”: ““,
“Effect”: “Allow”
}
]
}
RAM 授权 MongoDB Resource 的方式
目前,MongoDB可以在RAM中进行授权的资源类型仅有dbinstance(实例)一种。在通过RAM进行授权时,可以在策略Resource字段进行描述,资源的描述方式如下:
RAM 中可对 MongoDB 资源进行授权的 Action
在RAM中,可以对一个MongoDB资源进行以下Action的授权。
[tr=rgb(239, 251, 255)][td]DescribeDBInstanceAttribute
查询实例属性 |
RenewDBInstance | 刷新实例 |
ModifyDBInstanceNetworkType | 修改实例网络类型 |