为细分账号权限,提升账号安全性,您可以通过访问控制RAM(Resource Access Management)将MongoDB的管理权限授权给RAM用户(子账号),使用RAM用户管理MongoDB实例。
RAM用户授权操作步骤
自定义RAM授权策略
系统策略针对所有MongoDB资源进行RAM授权,您也可以根据业务需求自定义授权策略,仅向RAM用户授予指定实例的具体操作权限。关于自定义授权策略语法,请参见Policy结构和语法。
RAM授权MongoDB Resource的方式
目前RAM对MongoDB进行授权的资源类型仅支持dbinstance(实例)一种。在通过RAM进行授权时,可以在策略的Resource字段中进行描述,资源的描述方式如下。
| 资源类型 | 授权策略中的资源描述方式 |
|---|---|
| dbinstance |
|
参数说明
| 参数名称 | 说明 |
|---|---|
$regionid |
地域的ID,可以用*表示。 |
$dbinstanceid |
实例ID,可以用*表示。 |
$accountid |
云账号的数字ID,可以用*表示。 |
可授权的Action
在RAM中,可以对一个MongoDB资源进行以下Action的授权。
| Action | 功能描述 |
|---|---|
| CreateDBInstance | 创建实例 |
| ModifyDBInstanceSpec | 变更实例配置 |
| DeleteDBInstance | 删除实例 |
| DescribeDBInstances | 查询实例 |
| RestartDBInstance | 重启实例 |
| DescribeSecurityIps | 查询白名单 |
| ModifySecurityIps | 修改白名单 |
| ResetAccountPassword | 重置密码 |
| DescribeBackupPolicy | 查询备份策略 |
| ModifyBackupPolicy | 修改备份策略 |
| CreateBackup | 创建备份 |
| RestoreDBInstance | 恢复实例 |
| DescribeAccounts | 查询账号信息 |
| DescribeDBInstancePerformance | 查询实例状态 |
| DescribeReplicaSetRole | 查询实例主从属性 |
| ModifyDBInstanceDescription | 修改实例描述 |
| ModifyAccountDescription | 修改账号信息 |
| DescribeDBInstanceAttribute | 查询实例属性 |
| RenewDBInstance | 续费实例 |
| ModifyDBInstanceNetworkType | 修改实例网络类型 |