Untuk mengelola sumber daya ApsaraDB for MongoDB secara lebih efisien, Anda dapat menggunakan grup sumber daya untuk mengelompokkan sumber daya ke dalam grup dan mengelola grup sumber daya tersebut. Grup sumber daya memungkinkan Anda mengelompokkan sumber daya berdasarkan departemen, proyek, dan lingkungan, serta menggunakan Resource Access Management (RAM) untuk mengisolasi sumber daya dan mengelola izin sumber daya secara bergranular halus dalam satu akun Alibaba Cloud. Topik ini menjelaskan dukungan ApsaraDB for MongoDB untuk grup sumber daya. Topik ini juga menjelaskan cara mengelompokkan sumber daya ApsaraDB for MongoDB ke dalam grup dan mengotorisasi grup sumber daya.
Istilah
Grup sumber daya
Grup sumber daya memungkinkan Anda mengelompokkan sumber daya di akun Alibaba Cloud ke dalam grup logis. Ini menyederhanakan pengelolaan izin, alokasi biaya, dan organisasi sumber daya. Sebagai contoh, Anda dapat membuat grup sumber daya untuk proyek tertentu dan mentransfer sumber daya terkait ke grup tersebut untuk pengelolaan terpusat. Untuk informasi lebih lanjut, lihat Apa itu Grup Sumber Daya? dan Praktik Terbaik untuk Merancang Grup Sumber Daya.
Otorisasi tingkat grup sumber daya
Setelah mengelompokkan sumber daya ke dalam grup, Anda dapat menggunakan RAM untuk memberikan izin pada grup sumber daya tertentu kepada pengguna RAM, grup pengguna RAM, atau peran RAM. Dengan metode ini, sumber daya yang dapat dikelola oleh entitas yang diotorisasi dibatasi pada sumber daya dalam grup sumber daya yang ditentukan. Pendekatan ini bersifat skalabel karena penambahan sumber daya baru hanya memerlukan pengelompokan ke grup yang sesuai tanpa perubahan pada kebijakan yang telah ditentukan. Untuk informasi lebih lanjut, lihat Klasifikasikan Sumber Daya ke dalam Grup Sumber Daya dan Berikan Izin pada Grup Sumber Daya.
Prosedur untuk otorisasi tingkat grup sumber daya
Contoh berikut menjelaskan cara memberikan izin kepada pengguna RAM untuk mengelola sumber daya ApsaraDB for MongoDB dalam grup sumber daya tertentu.
Masuk ke Konsol RAM dan buat pengguna RAM.
Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.
Masuk ke Konsol Manajemen Sumber Daya dan buka halaman Grup Sumber Daya untuk membuat grup sumber daya.
Untuk informasi lebih lanjut, lihat Buat Grup Sumber Daya.
Klasifikasikan sumber daya ke dalam grup sumber daya.
Jika Anda ingin membuat sumber daya baru, tentukan grup sumber daya tempat sumber daya tersebut akan dimasukkan.
Jika Anda ingin menggunakan sumber daya yang sudah ada, transfer sumber daya tersebut ke grup sumber daya yang sesuai. Untuk informasi lebih lanjut, lihat Lakukan Transfer Sumber Daya Manual Lintas Grup Sumber Daya.
Masuk ke Konsol RAM dan buat kebijakan kustom.
CatatanJika Anda ingin melampirkan kebijakan sistem ke pengguna RAM, lewati langkah ini. Dalam lingkungan bisnis sebenarnya, kami sarankan Anda hanya memberikan izin yang diperlukan kepada pengguna RAM berdasarkan prinsip hak istimewa minimal. Hal ini mencegah risiko keamanan yang disebabkan oleh izin pengguna yang berlebihan.
Kebijakan kustom yang dibuat harus mencakup izin operasi yang diperlukan oleh pengguna RAM. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.
Contoh kebijakan kustom:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "dds:DescribeDBInstanceAttribute", "Resource": "*" } ] }Lampirkan kebijakan kustom dengan ruang lingkup efektif grup sumber daya ke pengguna RAM.
Anda dapat memberikan izin kepada pengguna RAM dengan salah satu dari metode berikut:
Masuk ke Konsol Manajemen Sumber Daya dan pilih grup sumber daya pada halaman Grup Sumber Daya. Untuk informasi lebih lanjut, lihat Tambahkan Otorisasi RAM.
Masuk ke Konsol RAM, lalu atur parameter Resource Scope ke ResourceGroup di panel Pemberian Izin. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.
Otorisasi grup sumber daya hanya berlaku untuk tipe sumber daya yang mendukung grup sumber daya. Untuk tipe sumber daya yang tidak mendukung grup sumber daya, izin yang diberikan ke grup sumber daya tidak akan berlaku. Saat memilih ruang lingkup sumber daya, pilih tingkat akun untuk otorisasi tingkat akun.
Untuk informasi lebih lanjut tentang tipe sumber daya yang mendukung grup sumber daya dalam ApsaraDB for MongoDB, lihat Tipe Sumber Daya yang Mendukung Grup Sumber Daya. Untuk informasi lebih lanjut tentang tipe sumber daya yang tidak mendukung grup sumber daya dalam ApsaraDB for MongoDB, lihat Tindakan yang Tidak Mendukung Otorisasi Tingkat Grup Sumber Daya.
Tipe sumber daya yang mendukung grup sumber daya
Tabel berikut mencantumkan tipe sumber daya yang mendukung grup sumber daya dalam ApsaraDB for MongoDB.
Nama Layanan | Kode Layanan | Tipe Sumber Daya |
ApsaraDB for MongoDB | dds | dbinstance: instances |
Jika Anda memiliki kebutuhan untuk tipe sumber daya yang tidak mendukung grup sumber daya, Anda dapat submit a ticket.
Tindakan yang tidak mendukung otorisasi tingkat grup sumber daya
Tabel berikut mencantumkan tindakan yang tidak mendukung otorisasi tingkat grup sumber daya dalam ApsaraDB for MongoDB dan API yang sesuai dengan tindakan tersebut.
Tindakan | API | API |
dds:CreateGlobalSecurityIPGroup | CreateGlobalSecurityIPGroup | Membuat template daftar putih IP global. |
dds:DescribeGlobalSecurityIPGroup | DescribeGlobalSecurityIPGroup | Meminta template daftar putih IP global. |
dds:ModifyGlobalSecurityIPGroup | ModifyGlobalSecurityIPGroup | Memodifikasi template daftar putih IP global. |
dds:ModifyGlobalSecurityIPGroupName | ModifyGlobalSecurityIPGroupName | Memodifikasi nama template daftar putih IP global. |
dds:DeleteGlobalSecurityIPGroup | DeleteGlobalSecurityIPGroup | Menghapus template daftar putih IP global. |
dds:DescribePrice | DescribePrice | Mengajukan pertanyaan tentang instance ApsaraDB for MongoDB. |
dds:DescribeKmsKeys | DescribeKmsKeys | Meminta Key Management Service (KMS) keys yang tersedia untuk enkripsi disk. |
dds:DescribeActiveOperationMaintenanceConfig | DescribeActiveOperationMaintenanceConfig | Meminta konfigurasi tugas O&M. |
dds:ModifyActiveOperationMaintenanceConfig | ModifyActiveOperationMaintenanceConfig | Memodifikasi konfigurasi tugas O&M. |
dds:CheckServiceLinkedRole | CheckServiceLinkedRole | Memeriksa apakah service-linked role (SLR) telah dibuat untuk instance ApsaraDB for MongoDB. |
Untuk informasi lebih lanjut tentang otorisasi RAM untuk ApsaraDB for MongoDB, lihat Otorisasi RAM.
Untuk tipe sumber daya yang tidak mendukung grup sumber daya, izin yang diberikan ke grup sumber daya tidak akan berlaku. Anda harus membuat kebijakan kustom dan mengatur parameter Ruang Lingkup Sumber Daya ke Account di Konsol RAM.
Contoh kode berikut menunjukkan dua kebijakan kustom. Anda dapat menyesuaikan isi kebijakan sesuai kebutuhan.
Kebijakan kustom berikut mengizinkan operasi baca-saja yang tidak mendukung otorisasi tingkat grup sumber daya. Dalam kebijakan kustom, bidang
Actionberisi semua operasi baca-saja yang tidak mendukung otorisasi tingkat grup sumber daya.{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "dds:DescribeGlobalSecurityIPGroup", "dds:DescribePrice", "dds:CheckServiceLinkedRole", "dds:DescribeKmsKeys", "dds:DescribeActiveOperationMaintenanceConfig" ], "Resource": "*" } ] }Kebijakan kustom berikut mengizinkan semua operasi yang tidak mendukung otorisasi tingkat grup sumber daya. Dalam kebijakan kustom, bidang
Actionberisi semua operasi yang tidak mendukung otorisasi tingkat grup sumber daya.{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "dds:DescribeGlobalSecurityIPGroup", "dds:DescribePrice", "dds:CheckServiceLinkedRole", "dds:DescribeKmsKeys", "dds:DescribeActiveOperationMaintenanceConfig", "dds:CreateGlobalSecurityIPGroup", "dds:ModifyGlobalSecurityIPGroup", "dds:ModifyGlobalSecurityIPGroupName", "dds:DeleteGlobalSecurityIPGroup", "dds:ModifyActiveOperationMaintenanceConfig" ], "Resource": "*" } ] }
Pengguna RAM atau peran RAM yang diberikan izin tingkat akun dapat mengoperasikan sumber daya dalam seluruh akun. Pastikan bahwa izin yang diberikan kepada pengguna RAM atau peran RAM memenuhi harapan Anda dan mengikuti prinsip hak istimewa minimal.