You need to enable JavaScript to run this app.
导航
文档数据库 MongoDB 版
  • 文档首页
    • /文档数据库 MongoDB 版/用户指南/账号与访问授权/通过子用户使用 MongoDB 服务
通过子用户使用 MongoDB 服务
最近更新时间:2024.10.17 15:44:20首次发布时间:2024.10.17 15:44:20
我的收藏

火山引擎支持通过主账号或拥有管理权限的用户创建子用户(即 IAM 用户),您可以为不同的子用户授予不同的权限,实现同一账号不同身份用户拥有不同程度的访问权限,便于权限精细化管理。本文介绍如何通过子用户使用文档数据库 MongoDB 版云服务。

背景信息

  • IAM 简介
    访问控制(Identity and Access Management,简称 IAM)是火山引擎提供的一套权限管理系统,用于控制不同身份对云资源的访问权限。IAM 提供了多身份管理、精细化权限管理、登录访问或 API 访问与 SSO、安全认证、临时令牌服务、操作审计等一系列功能,满足多样化场景下用户分权及资源统一管理的需求。关于 IAM 的更多详情,请参见 IAM 产品介绍

  • IAM 策略
    策略是对权限的一种描述,IAM 用户、用户组或角色均需通过关联策略来赋予权限。策略中可定义操作范围、资源范围和权限生效条件,IAM 支持两种类型的策略:系统预设策略和自定义策略。更多详情,请参见策略概述

  • 作用范围
    IAM 支持为用户指定策略的作用范围,当前支持如下两种范围:

    • 全局权限 :授权的策略对账号下所有项目(包括未来新增项目)内的资源生效。
    • 项目权限:策略仅对指定项目内的资源生效。

常见云服务系统预设策略

除了常见的系统预设策略,IAM 还支持通过自定义策略进行更精细化的权限管理。关于自定义策略的更多详情,请参见管理自定义策略

MongoDB 云服务

通过子用户使用 MongoDB 云服务之前,需要先为子用户授权 MongoDB 云服相关权限,下表列举了 MongoDB 云服务涉及的系统预设策略供您参考。

涉及的系统预设策略说明

MongoDBFullAccess

文档数据库 MongoDB 版的全部管理权限。添加了此权限的子用户,会拥有策略作用范围内文档数据库 MongoDB 版的读写权限,如创建实例、删除实例、编辑实例。

说明

文档数据库 MongoDB 版 支持与其它云服务(如 VPC、EIP 等)关联使用,因此若子用户需使用其它云服务,还需要为子用户添加对应云服务的管理或只读策略。更多详情,请参见其它常见云服务

MongoDBReadOnlyAccess文档数据库 MongoDB 版的只读访问权限。添加此权限后,用户可以查看策略作用范围内的 MongoDB 实例。

其它常见云服务

文档数据库 MongoDB 版支持与其它云服务(如 VPC、EIP 等)关联使用,下表列举了一些常见云服务的系统预设策略供您参考。

云服务名称涉及的系统预设策略说明

私有网络

VPCFullAccess

私有网络(VPC)全部管理权限。添加此权限后,用户会拥有策略作用范围内私有网络的读写权限,如创建私有网络、为 MongoDB 实例绑定私有网络或子网等。

说明

  • 创建私有网络时可指定项目,但创建子网时不支持指定项目,子网默认与与所属 VPC 在同一项目下。VPC 和子网的项目变更具有独立性,即修改 VPC 所属项目并不会同时修改当前 VPC 下子网的所属项目。更多详情,请参见私有网络项目管理
  • 若修改了 VPC 所属项目,您还需要将 VPC 下的子网项目也进行相应变更,保证两者所属项目的一致性。否则非全局权限子用户创建云资源(如文档数据库 MongoDB 版)时将无法选择子网或出现异常报错。修改所属项目的具体操作步骤,请参见 项目资源管理
VPCReadOnlyAccess私有网络(VPC)只读访问权限。添加此权限后,用户可以查看策略作用范围内 MongoDB 实例的私网和子网信息。

公网 IP

EIPFullAccess

公网 IP(EIP)全部管理权限。添加此权限后,用户会拥有策略作用范围内公网 IP 的读写权限,如申请公网 IP、为 MongoDB 实例绑定公网 IP 等。

EIPReadOnlyAccess公网IP(EIP)只读访问权限。添加此权限后,用户可以查看策略作用范围内 MongoDB 实例的公网 IP 信息。
云监控CloudMonitorFullAccess云监控(CloudMonitor)的全部管理权限。添加此权限后,用户会拥有策略作用范围内 MongoDB 实例的监控告警的读写权限,如查看实例的监控数据、为实例添加告警策略等。

CloudMonitorReadOnlyAccess

云监控(CloudMonitor)的只读访问权限。添加此权限后,用户可以查看策略作用范围内 MongoDB 实例的监控数据。

说明

如果子用户需要查看监控信息,需要为子用户在全局范围内添加该权限。

数据库工作台

DbwFullAccess

数据库工作台(DBW)全部管理权限。添加此权限后,用户会拥有策略作用范围内 DBW 的读写权限,如使用 DBW 登录 MongoDB 实例并使用数据交互台功能等。

说明

如果子用户需要使用 DBW 登录或管理 MongoDB 实例,需要为子用户在全局范围内添加该权限。

费用中心

BillingCenterFullAccess

费用中心全部读写权限,包含费用中心所有页面和相关 OpenAPI 的管理权限。添加此权限后,用户会拥有策略作用范围内费用中心的读写权限,如通过费用中心充值、续费、退订实例等。

说明

  • 如果子用户需要为 MongoDB 实例进行充值、续费或退订操作,需要为子用户在全局范围内添加该权限。
  • 若将按量计费的 MongoDB 实例计费类型转化为了包年包月,即使子用户拥有该实例在对应项目下的 BillingCenterFullAccess 权限,您仍需要为子用户重新在全局范围内添加 BillingCenterFullAccess 权限,否则子用户在退订或续费该实例时会提示权限不足的报错。

注意事项

创建时间在 2024 年 10 月 17 日之前的白名单仅支持在全局范围内生效,而不支持在指定项目内生效。因此,当通过子用户使用 MongoDB 云服务且子用户授予的 MongoDBFullAccessMongoDBReadOnlyAccess 策略作用范围为项目权限时,为保证子用户能正常访问或管理 MongoDB 的存量白名单,请提交工单联系技术支持将需要访问或管理的白名单加入子用户所属的项目中,否则子用户在使用对应白名单相关功能时会提示权限不足的报错。

操作步骤

  1. 创建子用户

    说明

    • 您需要使用主账号或拥有管理员权限的用户登录 IAM 控制台创建子用户。
    • 您可以在创建子用户时,直接为新建用户添加 MongoDB 及其它关联服务的系统预设策略,并指定策略作用范围。

  2. 为子用户添加权限

  3. 使用子用户登录 MongoDB 控制台并使用 MongoDB 服务。

    说明

    为保障云资源的安全性,降低主账号 AK/SK 的泄露风险,建议您以为子用户创建单独的 AK/SK 来调用 MongoDB 相关的 API 接口。关于创建 AK/SK 的详细信息,请参见 API 访问密钥管理