在使用云数据库MongoDB的审计日志时,云数据库MongoDB会自动创建AliyunServiceRoleForMongoDB角色,并自动实现日志服务对云数据库MongoDB的授权。经过授权后,云数据库MongoDB可访问当前阿里云账号下日志服务产品的相关资源。

背景信息

服务关联角色的介绍请参见服务关联角色
说明 服务关联角色的权限策略由关联的云服务定义和使用,您不能修改或删除权限策略,也不能为服务关联角色添加或移除权限。

查看角色详情

  1. 登录RAM控制台
  2. 在左侧导航栏,单击身份管理 > 角色
  3. 在文本框中输入AliyunServiceRoleForMongoDB,单击搜索
  4. 单击角色名称列的AliyunServiceRoleForMongoDB,查看角色的详细信息。

角色说明

  • 角色名称:AliyunServiceRoleForMongoDB
  • 权限策略名称:AliyunServiceRolePolicyForMongoDB
  • 权限策略说明:允许云数据库MongoDB访问审计日志中的相关资源、允许删除服务关联角色。
    • 查看方法

      您可以在权限管理页面,单击AliyunServiceRoleForMongoDB后,在策略内容页面查看。

    • 语法

      关于权限策略的语法说明,请参见权限策略语法和结构

    • 详细内容
      {
        "Version": "1",
        "Statement": [
          {
            "Effect": "Allow",
            "Resource": "acs:log:*:*:project/nosql-*",
            "Action": [
              "log:GetLogstoreLogs",
              "log:ListLogStores",
              "log:GetLogStore",
              "log:GetIndex",
              "log:GetLogstoreHistogram",
              "log:GetConfig",
              "log:ListConfig",
              "log:GetDashboard",
              "log:ListDashboard",
              "log:CreateLogStore",
              "log:CreateIndex",
              "log:UpdateIndex",
              "log:CreateDashboard",
              "log:UpdateDashboard",
              "log:CreateSavedSearch",
              "log:UpdateSavedSearch",
              "log:CreateProject"
            ]
          },
          {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
              "StringEquals": {
                "ram:ServiceName": "mongodb.aliyuncs.com"
              }
            }
          }
        ]
      }

删除AliyunServiceRoleForMongoDB

  1. 释放或退订依赖AliyunServiceRoleForMongoDB角色的所有云数据库MongoDB实例,具体请参见释放按量付费实例提交工单
  2. 删除AliyunServiceRoleForMongoDB角色,删除方法请参见删除服务关联角色

常见问题

Q:为什么我的RAM用户(子账号)无法自动创建AliyunServiceRoleForMongoDB?

A:您的RAM用户需要拥有AliyunMongoDBFullAccess权限,才能自动创建或删除AliyunServiceRoleForMongoDB。因此,在RAM用户无法自动创建AliyunServiceRoleForMongoDB时,您需为其添加以下权限策略,添加方法请参见创建自定义权限策略
{
    "Action": "ram:CreateServiceLinkedRole",
    "Resource": "*",
    "Effect": "Allow",
    "Condition": {
        "StringEquals": {
            "ram:ServiceName": "mongodb.aliyuncs.com"
        }
     }
}