全部产品
Search

搜索本产品

    ApsaraDB for MongoDB:Cara memberikan izin kepada pengguna RAM untuk ApsaraDB for MongoDB

    文档中心

    ApsaraDB for MongoDB:Cara memberikan izin kepada pengguna RAM untuk ApsaraDB for MongoDB

    更新时间:Mar 01, 2026

    Resource Access Management (RAM) menyediakan kontrol akses detail halus untuk ApsaraDB for MongoDB. Gunakan RAM untuk memberikan izin manajemen spesifik kepada pengguna RAM dan terapkan prinsip hak istimewa minimal.

    Catatan RAM mengontrol operasi manajemen platform cloud seperti membuat atau menghapus instans. RAM tidak mengontrol akses tingkat database seperti membaca atau menulis data. Untuk mengelola akses tingkat database, konfigurasikan pengguna dan peran dalam MongoDB.

    Prasyarat

    Sebelum memulai, pastikan Anda telah memiliki:

    • Akun Alibaba Cloud dengan hak istimewa administrator RAM

    • Pengguna RAM yang telah dibuat di RAM console. Untuk informasi selengkapnya, lihat Buat pengguna RAM.

    Berikan izin kepada pengguna RAM

    1. Masuk ke RAM console sebagai administrator RAM.

    2. Di panel navigasi sebelah kiri, pilih Identities > Users.

    3. Pada halaman Users, temukan pengguna RAM target dan klik Add Permissions di kolom Actions.Tip: Untuk memberikan izin kepada beberapa pengguna RAM sekaligus, pilih pengguna RAM tersebut lalu klik Add Permissions di bagian bawah halaman.

    4. Pada panel Grant Permission, konfigurasikan parameter berikut:

      Penting

      Jika Anda memilih Resource Group untuk Resource Scope, pastikan ApsaraDB for MongoDB mendukung kelompok sumber daya. Untuk informasi selengkapnya, lihat Services that work with Resource Group. Untuk informasi lebih lanjut tentang cara memberikan izin pada kelompok sumber daya, lihat Use a resource group to grant a RAM user the permissions to manage a specific ECS instance.

      Catatan Sistem secara otomatis mengidentifikasi kebijakan sistem berisiko tinggi seperti AdministratorAccess dan AliyunRAMFullAccess. Hindari menyambungkan kebijakan berisiko tinggi kecuali benar-benar diperlukan.
      ParameterDeskripsi
      Resource ScopeAccount: Kebijakan berlaku pada akun Alibaba Cloud saat ini. Resource Group: Kebijakan berlaku pada kelompok sumber daya tertentu.
      PrincipalPengguna RAM yang akan diberikan izin. Pengguna RAM saat ini dipilih secara default.
      PolicyKebijakan yang akan disambungkan. Pilih satu atau beberapa kebijakan sistem atau kebijakan kustom.

    5. Klik Grant permissions.

    6. Klik Close.

    Kebijakan sistem

    ApsaraDB for MongoDB menyediakan dua kebijakan sistem:

    KebijakanTipeDeskripsi
    AliyunMongoDBFullAccessAkses penuhMemberikan izin manajemen penuh atas semua resource ApsaraDB for MongoDB.
    AliyunMongoDBReadOnlyAccessRead-onlyMemberikan izin read-only atas resource ApsaraDB for MongoDB. Terbatas pada operasi Describe*.

    Gunakan AliyunMongoDBFullAccess untuk administrator yang mengelola instans. Gunakan AliyunMongoDBReadOnlyAccess untuk pengguna yang hanya perlu melihat informasi instans, data pemantauan, atau status backup.

    Kebijakan kustom

    Kebijakan kustom menyediakan kontrol akses detail halus atas operasi API dan instans tertentu. Untuk referensi sintaks lengkap, lihat Struktur dan sintaks kebijakan.

    Format deskripsi resource

    Tentukan resource dalam elemen Resource menggunakan format berikut:

    acs:dds:$regionid:$accountid:dbinstance/$dbinstanceid
    VariabelDeskripsiContoh
    $regionidID Wilayah dari instans. Gunakan * untuk semua wilayah.cn-hangzhou, *
    $accountidID akun Alibaba Cloud. Gunakan * untuk semua akun.1234567890, *
    $dbinstanceidID instans. Gunakan * untuk semua instans.dds-bp1234567890, *

    Contoh deskripsi resource:

    TargetNilai resource
    Instans tertentu di wilayah tertentuacs:dds:cn-hangzhou:1234567890:dbinstance/dds-bp1234567890
    Semua instans di wilayah tertentuacs:dds:cn-hangzhou:*:dbinstance/*
    Semua instans di semua wilayahacs:dds:*:*:dbinstance/*

    Operasi API yang dapat diotorisasi

    Tabel berikut mencantumkan semua operasi API yang dapat diotorisasi melalui RAM.

    Siklus hidup instans

    OperasiDeskripsi
    CreateDBInstanceMembuat instans ApsaraDB for MongoDB.
    ModifyDBInstanceSpecMemodifikasi konfigurasi instans ApsaraDB for MongoDB.
    DeleteDBInstanceMenghapus instans ApsaraDB for MongoDB.
    RestartDBInstanceMerestart instans ApsaraDB for MongoDB.
    RenewDBInstanceMemperpanjang masa berlaku instans ApsaraDB for MongoDB.

    Informasi instance

    OperasiDeskripsi
    DescribeDBInstancesMenjalankan kueri pada instans ApsaraDB for MongoDB.
    DescribeDBInstanceAttributeMenanyakan atribut instans ApsaraDB for MongoDB.
    ModifyDBInstanceDescriptionMemodifikasi deskripsi instans ApsaraDB for MongoDB.
    DescribeReplicaSetRoleMenanyakan atribut primary/secondary instans ApsaraDB for MongoDB.
    DescribeDBInstancePerformanceMenanyakan metrik performa instans ApsaraDB for MongoDB.

    Keamanan dan kontrol akses

    OperasiDeskripsi
    DescribeSecurityIpsMenanyakan daftar putih instans ApsaraDB for MongoDB.
    ModifySecurityIpsMemodifikasi daftar putih instans ApsaraDB for MongoDB.

    Manajemen akun

    OperasiDeskripsi
    DescribeAccountsMenanyakan akun database instans ApsaraDB for MongoDB.
    ResetAccountPasswordMereset password akun instans ApsaraDB for MongoDB.
    ModifyAccountDescriptionMemodifikasi deskripsi akun database pada instans ApsaraDB for MongoDB.

    Backup dan pemulihan

    OperasiDeskripsi
    DescribeBackupPolicyMenanyakan kebijakan cadangan instans ApsaraDB for MongoDB.
    ModifyBackupPolicyMemodifikasi kebijakan cadangan instans ApsaraDB for MongoDB.
    CreateBackupMembuat backup untuk instans ApsaraDB for MongoDB.
    RestoreDBInstanceMemulihkan data instans ApsaraDB for MongoDB.

    Konfigurasi jaringan

    OperasiDeskripsi
    ModifyDBInstanceNetworkTypeMemodifikasi jenis jaringan instans ApsaraDB for MongoDB.

    Contoh kebijakan kustom

    Salin dan modifikasi kebijakan JSON berikut sesuai kebutuhan Anda.

    Contoh 1: Akses read-only ke instans tertentu

    Berikan akses read-only ke satu instans. Ganti ID wilayah, ID akun, dan ID instans dengan nilai aktual Anda.

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "dds:DescribeDBInstances",
        "dds:DescribeDBInstanceAttribute",
        "dds:DescribeDBInstancePerformance",
        "dds:DescribeReplicaSetRole",
        "dds:DescribeSecurityIps",
        "dds:DescribeAccounts",
        "dds:DescribeBackupPolicy"
      ],
      "Resource": "acs:dds:cn-hangzhou:1234567890:dbinstance/dds-bp1234567890"
    }
  ]
}

    Contoh 2: Hanya manajemen backup

    Izinkan pengguna RAM mengelola backup tanpa memberikan akses ke konfigurasi instans atau pengaturan keamanan.

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "dds:DescribeBackupPolicy",
        "dds:ModifyBackupPolicy",
        "dds:CreateBackup",
        "dds:RestoreDBInstance",
        "dds:DescribeDBInstances"
      ],
      "Resource": "acs:dds:*:*:dbinstance/*"
    }
  ]
}
    Catatan dds:DescribeDBInstances disertakan agar pengguna RAM dapat menampilkan daftar instans di konsol dan menavigasi ke pengaturan backup.

    Contoh 3: Akses penuh di wilayah tertentu

    Berikan izin manajemen penuh atas semua instans ApsaraDB for MongoDB hanya di wilayah China (Hangzhou).

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "dds:*",
      "Resource": "acs:dds:cn-hangzhou:*:dbinstance/*"
    }
  ]
}

    Konsep inti

    KonsepDeskripsi
    RAM userIdentitas yang dibuat di bawah akun Alibaba Cloud Anda. Setiap pengguna RAM memiliki kredensial sendiri dan dapat diberikan izin spesifik untuk mengelola instans ApsaraDB for MongoDB melalui konsol atau API.
    System policyKebijakan yang telah ditentukan dan dikelola oleh Alibaba Cloud. Kebijakan sistem tidak dapat dimodifikasi.
    Custom policyKebijakan yang ditentukan pengguna untuk akses detail halus ke operasi atau instans tertentu. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom sesuai kebutuhan.
    Resource scopeBatasan di mana suatu kebijakan berlaku. Izin dapat berlaku untuk seluruh akun Alibaba Cloud atau untuk kelompok sumber daya tertentu.

    Praktik terbaik

    • Mulai dengan kebijakan sistem. Gunakan AliyunMongoDBFullAccess atau AliyunMongoDBReadOnlyAccess untuk sebagian besar skenario. Buat kebijakan kustom hanya jika diperlukan kontrol yang lebih rinci.

    • Terapkan akses hak istimewa minimal. Berikan hanya izin minimum yang dibutuhkan pengguna RAM. Misalnya, pengguna pemantauan hanya memerlukan operasi Describe*, bukan operasi Modify* atau Delete*.

    • Batasi resource berdasarkan instans. Gunakan format deskripsi resource untuk membatasi izin hanya pada instans tertentu, bukan memberikan akses ke semua instans dengan wildcard (*).

    • Pisahkan tugas. Tetapkan kebijakan kustom berbeda kepada pengguna RAM berbeda sesuai perannya. Misalnya, pisahkan operator backup dari administrator instans.

    • Tinjau izin secara berkala. Audit izin pengguna RAM secara berkala dan cabut izin yang tidak lagi diperlukan.

    • Hindari kebijakan berisiko tinggi. Jangan sambungkan AdministratorAccess atau AliyunRAMFullAccess kecuali pengguna RAM memerlukan akses luas ke seluruh layanan Alibaba Cloud.

    Referensi