AWS IAM 策略

在此页面上

Overview

策略示例
策略设置

2024 年 8 月 30 日以后，Cloud Manager 将不再支持 MongoDB 3.6 和 4.0 的自动化、备份和监控。请升级您的 MongoDB 部署或迁移到 Atlas。

用于以编程访问权限Cloud Manager的 OAuth 2.0身份验证作为预览功能。: 在预览期间，功能和相应的文档可能随时更改。要使用 OAuth2.0 身份验证，请创建一个服务帐户，以便在向Cloud Manager Public API发出的请求中使用。

Overview

当 Cloud Manager 在 Amazon Web Services 基础架构上部署和托管 MongoDB 实例时，Cloud Manager 通过用户的访问密钥来访问 Amazon Web Services。与密钥关联的用户必须附加具有以下权限的 IAM 策略。有关附加策略的信息，请参阅“预配服务器”。

有关Amazon Web Services IAM 策略的概述，请参阅Amazon 的 IAM 策略文档。

策略示例

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["iam:*AccessKey*", "iam:GetUser"],
      "Resource": ["*"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:AttachVolume",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateKeyPair",
        "ec2:CreateSecurityGroup",
        "ec2:CreateTags",
        "ec2:CreateVolume",
        "ec2:DeleteKeyPair",
        "ec2:DeleteSecurityGroup",
        "ec2:DeleteTags",
        "ec2:DeleteVolume",
        "ec2:DescribeAccountAttributes",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeInstanceAttribute",
        "ec2:DescribeInstanceStatus",
        "ec2:DescribeInstances",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeRegions",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSubnets",
        "ec2:DescribeTags",
        "ec2:DescribeVpcs",
        "ec2:DescribeVpcAttribute",
        "ec2:DescribeVolumeStatus",
        "ec2:DescribeVolumes",
        "ec2:DescribeVolumeAttribute",
        "ec2:ImportKeyPair",
        "ec2:RunInstances",
        "ec2:StartInstances",
        "ec2:StopInstances",
        "ec2:RebootInstances",
        "ec2:TerminateInstances"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

策略设置

下表解释了为什么需要每项设置。 Cloud Manager 仅使用客户提供的权限对 Cloud Manager 为客户创建的资源执行 CRUD 操作。此外，Cloud Manager 仅对客户选择的资源（VPC、子网等）和连接的资源（网络 ACL、路由表等）执行 Read操作。

设置	支持 Cloud Manager：
ec2:AttachVolume	将 EBS 卷添加到预配的服务器。
ec2:AuthorizeSecurityGroupIngress	管理 Cloud Manager 确保有效网络状态所需的安全组规则。
ec2:CreateKeyPair	通过 SSH 连接到计算机以进行预配。
ec2:CreateSecurityGroup	在预配向导中自动生成安全群组。
ec2:CreateTags	标记 EC2 实例。
ec2:CreateVolume	创建 EBS 卷。
ec2:DeleteKeyPair	删除 Cloud Manager 创建的密钥对。
ec2:DeleteSecurityGroup	删除 Cloud Manager 创建的安全群组。
ec2:DeleteTags	删除 Cloud Manager 创建的标签。
ec2:DeleteVolume	删除 Cloud Manager 创建的资源。
ec2:DescribeAccountAttributes	确定 Amazon Web Services 账户是否有权访问 EC2-Classic。
ec2:DescribeAvailabilityZones	显示用户在预配新服务器时可以选择的可用区。
ec2:DescribeInstanceAttribute	EC2 实例的访问属性。
ec2:DescribeInstanceStatus	访问 EC2 实例的状态。
ec2:DescribeInstances	访问可用的 EC2 实例。
ec2:DescribeKeyPairs	验证 Cloud Manager 创建的密钥对。
ec2:DescribeRegions	显示用户在预配新服务器时可以选择的地区。
ec2:DescribeSecurityGroups	显示用户在预配新服务器时可以选择的安全群组。
ec2:DescribeSubnets	显示用户在预配新服务器时可以选择的子网。
ec2:DescribeTags	列出与 Cloud Manager 关联的实例的标签。
ec2:DescribeVpcs	显示用户在预配新服务器时可以选择的 VPC。
ec2:DescribeVpcAttribute	访问 VPC 属性。
ec2:DescribeVolumeStatus	验证附加或分离的卷的准备情况。
ec2:DescribeVolumes	确保 MongoDB 服务器连接了正确的卷。
ec2:DescribeVolumeAttribute	访问有关 EBS 卷的信息。
ec2:ImportKeyPair	将密钥对与 EC2 实例关联。
ec2:RunInstances	运行 EC2 实例。
ec2:StartInstances	启动 EC2 实例。
ec2:StopInstances	停止 EC2 实例。
ec2:RebootInstances	重新启动 EC2 实例。
ec2:TerminateInstances	终止 EC2 实例。

后退

设置和自动化

来年

监控命令