云数据库 MongoDB 如何配置 RAM 访问控制？-问答-阿里云开发者社区-阿里云

MongoDB RAM 鉴权概述

通过云帐号创建的MongoDB实例，默认情况下帐号对所属资源拥有完整的操作权限。
使用阿里云的RAM（Resource Access Management）服务，您可以将您云账号下MongoDB资源的访问及管理权限授予RAM中子用户。目前，MongoDB RAM授权的基本单位为实例。

鉴权步骤

进入访问控制RAM管理控制台
在访问控制RAM管理控制台单击[backcolor=transparent]策略管理打开[backcolor=transparent]授权策略管理界面，如下图所示：
单击[backcolor=transparent]新建授权策略打开[backcolor=transparent]创建授权策略对话框，设置授权策略，如下所示：
创建群组并授权

您也可以先在RAM中选择MongoDB的系统授权策略或自定义授权策略为群组授权。
创建用户并加入群组

您可以直接对用户进行MongoDB授权，同时也可以将用户加入已经授权MongoDB操作权限的组。
用户登录访问
授权完成后，原用户仍按照传统方式登录。RAM子用户通过如下链接登录，登录后即可访问授权的资源。

自定义 MongoDB RAM 策略

策略解析

通过RAM用户可以自定义授权策略，更加安全高效的管理MongoDB实例。阿里云提供了系统授权策略，用户可以参照构建自定义策略。如下策略为只读访问云数据库服务(MongoDB)的权限。

{
  “Version”: “1”,
  “Statement”: [
    {
      “Action”: “dds:Describe“,
      “Resource”: ““,
      “Effect”: “Allow”
    },
    {
      “Action”: [
        “vpc:DescribeVpcs”,
        “vpc:DescribeVSwitches”
      ],
      “Resource”: ““,
      “Effect”: “Allow”
    }
  ]
}

RAM 授权 MongoDB Resource 的方式

目前，MongoDB可以在RAM中进行授权的资源类型仅有dbinstance（实例）一种。在通过RAM进行授权时，可以在策略Resource字段进行描述，资源的描述方式如下：

资源类型	授权策略中的资源描述方式	说明
Instance	acs:dds:$regionid:$accountid:dbinstance/$dbinstanceidacs:dds:$regionid:$accountid:dbinstance/acs:dds:::dbinstance/	- 所有$regionid应为某个region的id，或者““。- 所有$dbinstanceid应为某个instance的id，或者“”。- 以此类推，$account-id是您云帐号的数字ID，可以用““代替。

RAM 中可对 MongoDB 资源进行授权的 Action

在RAM中，可以对一个MongoDB资源进行以下Action的授权。

Action	功能描述
CreateDBInstance	创建实例
ModifyDBInstanceSpec	修改实例
DeleteDBInstance	删除实例
DescribeDBInstances	查询实例
RestartDBInstance	重启实例
DescribeSecurityIps	查询白名单
ModifySecurityIps	修改白名单
ResetAccountPassword	重置密码
DescribeBackupPolicy	查询备份策略
ModifyBackupPolicy	修改备份策略
CreateBackup	创建备份
RestoreDBInstance	恢复实例
DescribeAccounts	查询账号信息
DescribeDBInstancePerformance	查询实例状态
DescribeReplicaSetRole	查询实例主从属性
ModifyDBInstanceDescription	修改实例描述
ModifyAccountDescription	修改账号信息

[tr=rgb(239, 251, 255)][td]DescribeDBInstanceAttribute 查询实例属性 RenewDBInstance刷新实例 ModifyDBInstanceNetworkType修改实例网络类型