云数据库 MongoDB 如何配置 RAM 访问控制?
MongoDB RAM 鉴权概述
通过云帐号创建的MongoDB实例,默认情况下帐号对所属资源拥有完整的操作权限。
使用阿里云的RAM(Resource Access Management)服务,您可以将您云账号下MongoDB资源的访问及管理权限授予RAM中子用户。目前,MongoDB RAM授权的基本单位为实例。
鉴权步骤
进入访问控制RAM管理控制台
在访问控制RAM管理控制台单击[backcolor=transparent]策略管理打开[backcolor=transparent]授权策略管理界面,如下图所示:
单击[backcolor=transparent]新建授权策略打开[backcolor=transparent]创建授权策略对话框,设置授权策略,如下所示:
创建群组并授权
您也可以先在RAM中选择MongoDB的系统授权策略或自定义授权策略为群组授权。
创建用户并加入群组
您可以直接对用户进行MongoDB授权,同时也可以将用户加入已经授权MongoDB操作权限的组。
用户登录访问
授权完成后,原用户仍按照传统方式登录。RAM子用户通过如下链接登录,登录后即可访问授权的资源。
自定义 MongoDB RAM 策略
策略解析
通过RAM用户可以自定义授权策略,更加安全高效的管理MongoDB实例。阿里云提供了系统授权策略,用户可以参照构建自定义策略。如下策略为只读访问云数据库服务(MongoDB)的权限。
{
“Version”: “1”,
“Statement”: [
{
“Action”: “dds:Describe“,
“Resource”: ““,
“Effect”: “Allow”
},
{
“Action”: [
“vpc:DescribeVpcs”,
“vpc:DescribeVSwitches”
],
“Resource”: ““,
“Effect”: “Allow”
}
]
}
RAM 授权 MongoDB Resource 的方式
目前,MongoDB可以在RAM中进行授权的资源类型仅有dbinstance(实例)一种。在通过RAM进行授权时,可以在策略Resource字段进行描述,资源的描述方式如下:
| 资源类型 | 授权策略中的资源描述方式 | 说明 |
| Instance | acs:dds:$regionid:$accountid:dbinstance/$dbinstanceidacs:dds:$regionid:$accountid:dbinstance/acs:dds:::dbinstance/ | - 所有$regionid应为某个region的id,或者““。- 所有$dbinstanceid应为某个instance的id,或者“”。- 以此类推,$account-id是您云帐号的数字ID,可以用““代替。 |
RAM 中可对 MongoDB 资源进行授权的 Action
在RAM中,可以对一个MongoDB资源进行以下Action的授权。
| Action | 功能描述 |
| CreateDBInstance | 创建实例 |
| ModifyDBInstanceSpec | 修改实例 |
| DeleteDBInstance | 删除实例 |
| DescribeDBInstances | 查询实例 |
| RestartDBInstance | 重启实例 |
| DescribeSecurityIps | 查询白名单 |
| ModifySecurityIps | 修改白名单 |
| ResetAccountPassword | 重置密码 |
| DescribeBackupPolicy | 查询备份策略 |
| ModifyBackupPolicy | 修改备份策略 |
| CreateBackup | 创建备份 |
| RestoreDBInstance | 恢复实例 |
| DescribeAccounts | 查询账号信息 |
| DescribeDBInstancePerformance | 查询实例状态 |
| DescribeReplicaSetRole | 查询实例主从属性 |
| ModifyDBInstanceDescription | 修改实例描述 |
| ModifyAccountDescription | 修改账号信息 |
展开
收起
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答