云数据库 MongoDB 如何配置 RAM 访问控制?-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文

云数据库 MongoDB 如何配置 RAM 访问控制?

云栖大讲堂 2017-10-30 17:51:35 1532


MongoDB RAM 鉴权概述


通过云帐号创建的MongoDB实例,默认情况下帐号对所属资源拥有完整的操作权限。
使用阿里云的RAM(Resource Access Management)服务,您可以将您云账号下MongoDB资源的访问及管理权限授予RAM中子用户。目前,MongoDB RAM授权的基本单位为实例。

鉴权步骤


  1. 进入访问控制RAM管理控制台

  2. 在访问控制RAM管理控制台单击[backcolor=transparent]策略管理打开[backcolor=transparent]授权策略管理界面,如下图所示:

  3. 单击[backcolor=transparent]新建授权策略打开[backcolor=transparent]创建授权策略对话框,设置授权策略,如下所示:

  4. 创建群组并授权

    您也可以先在RAM中选择MongoDB的系统授权策略或自定义授权策略为群组授权。

  5. 创建用户并加入群组

    您可以直接对用户进行MongoDB授权,同时也可以将用户加入已经授权MongoDB操作权限的组。

  6. 用户登录访问
    授权完成后,原用户仍按照传统方式登录。RAM子用户通过如下链接登录,登录后即可访问授权的资源。


自定义 MongoDB RAM 策略



策略解析


通过RAM用户可以自定义授权策略,更加安全高效的管理MongoDB实例。阿里云提供了系统授权策略,用户可以参照构建自定义策略。如下策略为只读访问云数据库服务(MongoDB)的权限。 {
  “Version”: “1”,
  “Statement”: [
    {
      “Action”: “dds:Describe“,
      “Resource”: ““,
      “Effect”: “Allow”
    },
    {
      “Action”: [
        “vpc:DescribeVpcs”,
        “vpc:DescribeVSwitches”
      ],
      “Resource”: ““,
      “Effect”: “Allow”
    }
  ]
}



RAM 授权 MongoDB Resource 的方式


目前,MongoDB可以在RAM中进行授权的资源类型仅有dbinstance(实例)一种。在通过RAM进行授权时,可以在策略Resource字段进行描述,资源的描述方式如下:
资源类型授权策略中的资源描述方式说明
Instanceacs:dds:$regionid:$accountid:dbinstance/$dbinstanceidacs:dds:$regionid:$accountid:dbinstance/acs:dds:::dbinstance/- 所有$regionid应为某个region的id,或者““。- 所有$dbinstanceid应为某个instance的id,或者“”。- 以此类推,$account-id是您云帐号的数字ID,可以用““代替。


RAM 中可对 MongoDB 资源进行授权的 Action


在RAM中,可以对一个MongoDB资源进行以下Action的授权。
Action功能描述
CreateDBInstance创建实例
ModifyDBInstanceSpec修改实例
DeleteDBInstance删除实例
DescribeDBInstances查询实例
RestartDBInstance重启实例
DescribeSecurityIps查询白名单
ModifySecurityIps修改白名单
ResetAccountPassword重置密码
DescribeBackupPolicy查询备份策略
ModifyBackupPolicy修改备份策略
CreateBackup创建备份
RestoreDBInstance恢复实例
DescribeAccounts查询账号信息
DescribeDBInstancePerformance查询实例状态
DescribeReplicaSetRole查询实例主从属性
ModifyDBInstanceDescription修改实例描述
ModifyAccountDescription修改账号信息
[tr=rgb(239, 251, 255)][td]DescribeDBInstanceAttribute 查询实例属性 RenewDBInstance刷新实例 ModifyDBInstanceNetworkType修改实例网络类型
NoSQL 安全 MongoDB 数据库 数据安全/隐私保护
分享到
取消 提交回答
全部回答(0)
数据库
使用钉钉扫一扫加入圈子
+ 订阅

分享数据库前沿,解构实战干货,推动数据库技术变革

推荐文章
相似问题
推荐课程