DDS对浏览器的兼容性请参见各服务/组件支持的浏览器有哪些。
产品介绍 9 兼容性说明
文档版本 21 (2022-02-22) 版权所有 © 华为技术有限公司 43
10 计费说明
华为云文档数据库单实例、副本集及集群DDS仅按实际用量付费,没有最低消费。
计费项及计费标准
表10-1 计费项说明
计费项 计费说明 计费标准
实例规格 按照您选择的实例规格收费。
其中,对于集群实例,规格费用 包含了mongos规格费用、shard 规格费用和config规格费用。
华为云DDS管理费用详 情,请参见产品价格详 情。您可以通过DDS提供 的价格计算器,选择您需 要的实例规格,来快速计 算出购买DDS实例的参考 价格。
存储空间 按照您选择存储空间收费。
其中,对于集群实例,存储空间 费用包含了shard存储空间费用和 config存储空间费用。
备份存储(可选) 文档数据库的备份文件存储在对 象存储服务(OBS)中,不会占 用文档数据库实例的存储空间。
DDS提供了部分免费存储空间,
用于存放您的备份数据,其总容 量约为您购买容量的100%。备 份存储用量超过数据库存储空间 的100%,开始按需计费。
审计日志空间(可 选)
审计日志记录您对数据库或集合 执行的操作,生成的日志文件将 以文件的形式存储在对象存储服 务(OBS)中。
开启审计日志会收取一定 费用,收费详情请参见产 品价格详情。
公网流量(可选) ● DDS实例支持公网访问,公网 访问会产生带宽流量费。
● DDS数据库实例在云内部网络 产生的流量不计费。
详情请参见弹性公网IP计 费详情。
产品介绍 10 计费说明
计费模式
提供按小时、按月、按年的计费方式供您灵活选择,使用越久越便宜。
● 包年/包月:该方式为一种预付费模式,相对于按需付费提供更大的折扣,对于长 期使用者,推荐该方式。
● 按需付费(小时):这种购买方式比较灵活,可以即开即停,按实际使用时长计 费。以自然小时为单位整点计费,不足一小时按一小时计费。
● 计费方式更改:支持包周期和按需计费方式转换。
如需更改计费方式,请参考按需实例转包周期和包周期实例转按需计费章节进行 计费方式转换。
变更配置
您可以根据业务需求对现有数据库实例进行规格变更,变更后即刻按照新的规格计 费。
● 增加实例或节点数量:您可以根据业务需求增加您现有实例的数量,增加后即刻 按照新的实例数量计费。在集群实例中,您需要注意的是集群节点只能增加,不 能减少。Mongos数量可选范围2~32、Shard数量可选范围2~32、Config数量默认 1个,不需要选择。
● 扩容存储空间:您可以根据业务需求增加您的存储空间,扩容后即刻按照新的存 储空间计费。您需要注意的是为了您的数据完整和安全,存储空间只允许扩容,
不能缩容。
续费
目前DDS提供“包年/包月”和“按需计费”购买方式,您可以根据业务需要定制相应 计算能力和存储空间的数据库实例。
● “按需计费”方式,即按实际使用时长计费,以自然小时为单位整点计费,不足 一小时按一小时计费,只要您账户上有足够余额,就可以一直使用服务。当账户 余额不足时,就会导致欠费,因此在欠费前请及时充值。
● “包年/包月”计费方式,您在购买时一次性付费,使用过程中不会再另外扣费,
只要您的账户上有足够余额,则不会影响您的使用。
如需续费,请进入“续费管理”页面进行续费操作。
到期与欠费
● 服务到期
若您购买的实例已到期,请参见费用中心用户指南中资源停止服务或逾期释放说 明章节进行处理。
● 欠费
若您购买的实例已欠费,请参见费用中心用户指南中欠费还款章节进行处理。
产品介绍 10 计费说明
文档版本 21 (2022-02-22) 版权所有 © 华为技术有限公司 45
11 权限管理
如果您需要对华为云上购买的DDS资源,给企业中的员工设置不同的访问权限,以达 到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分 配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。
通过IAM,您可以在华为云账号中给员工创建IAM用户,并授权控制他们对华为云资源 的访问范围。例如您的员工中有负责软件开发的人员,您希望他们拥有DDS的使用权 限,但是不希望他们拥有删除DDS等高危操作的权限,那么您可以使用IAM为开发人 员创建用户,通过授予仅能使用DDS,但是不允许删除DDS的权限策略,控制他们对 DDS资源的使用范围。
如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您 可以跳过本章节,不影响您使用DDS服务的其它功能。
IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的 资源进行付费。关于IAM的详细介绍,请参见《IAM产品介绍》。
DDS 权限
默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户 组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。
授权后,用户就可以基于被授予的权限对云服务进行操作。
DDS部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区 域级项目”,然后在指定区域(如华北-北京1)对应的项目(cn-north-1)中设置相 关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在 所有区域项目中都生效。访问DDS时,需要先切换至授权区域。
根据授权精细程度分为角色和策略。
● 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该 机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间 存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角 色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达 到企业对权限最小化的安全管控要求。
● 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资 源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业 对权限最小化的安全管控要求。例如:针对DDS服务,管理员能够控制IAM用户 仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒 度进行权限拆分,DDS支持的API授权项请参见文档数据库服务授权项说明。
产品介绍 11 权限管理
如表11-1所示,包括了DDS的所有系统权限。 DDSReadOnlyAcces
s
文档数据库服务只读权限,拥 有该权限的用户仅能查看文档 数据库服务数据。
系统策略 无
DDSManageAccess 文档数据库服务除删除操作外
的DBA权限。 系统策略 无
DDSAdministrator 操作权限:
● 拥有该权限的用户同时拥 有Tenant Guest和Server Administrator权限时,可 以对DDS执行任意操作,
例如:创建、删除、重 启、扩容、恢复实例,配 置数据库参数等操作。
● 拥有该权限的用户没有 Tenant Guest或Server Administrator权限,将无 法正常使用DDS。
● 拥有VPC Administrator权 限的用户可以创建VPC或子 网。
● 拥有CES Administrator权 限的用户可以修改或添加 对实例的告警规则。
系统角色 依赖Tenant Guest和Tenant Administrator 角色,在同项目 中勾选依赖的角 色。
如果配置了DDS 企业项目,需要 在同项目中勾选 DAS Admin,
才可以通过DDS 界面登录到DAS 服务。
表11-2列出了DDS常用操作与系统权限的授权关系,您可以参照该表选择合适的系统 权限。
表11-2 常用操作与系统权限的关系
操作 DDS
FullAccess DDS
ReadOnlyAcc ess
DDSManageAcce ss
DDSAdministrato r
操作 DDS
FullAccess DDS
ReadOnlyAcc ess
DDSManageAcce ss
DDSAdministrato
r
操作 DDS
FullAccess DDS
ReadOnlyAcc ess
DDSManageAcce ss
DDSAdministrato
r
表11-3列出了DDS常用操作以及对应的授权项,您可以参照该表自定义配置权限策 略。
表11-3 常用操作与对应的授权项
操作 授权项 授权范围 备注
实例创建
页 ● vpc:vpcs:list
● vpc:subnets:get
● vpc:securityGroup s:get
支持:
● IAM项目(Project)
● 企业项目(Enterprise Project)
创建页需要查询对应 的VPC、子网、安全 组。
创建实例 ● dds:instance:creat e
● vpc:vpcs:list
● vpc:vpcs:get
● vpc:subnets:get
● vpc:securityGroup s:get
● vpc:ports:get
支持:
● IAM项目(Project)
● 企业项目(Enterprise Project)
界面使用默认VPC、
子网、安全组需对应 配置vpc:*:create权 限,
创建加密实例需要在 项目上配置KMS Administrator权限。
查询实例
列表 dds:instance:list 支持:
● IAM项目(Project)
● 企业项目(Enterprise Project)
-查询实例
详情 dds:instance:list 支持:
● IAM项目(Project)
● 企业项目(Enterprise Project)
如果实例详情界面需 要展示VPC、子网、
安全组,请增加 vpc:*:get和vpc:*:list授 权项。
产品介绍 11 权限管理
文档版本 21 (2022-02-22) 版权所有 © 华为技术有限公司 49
操作 授权项 授权范围 备注 导出实例
列表 dds:instance:list 支持:
● IAM项目(Project)
● 企业项目(Enterprise Project)
如果需要导出VPC、
子网、安全组,请增 加vpc:*:get和vpc:*:list 授权项。
删除实例 dds:instance:deleteI
nstance 支持:
● IAM项目(Project)
● 企业项目(Enterprise Project)
删除实例需要同时删 除数据侧IP地址。
重启实例 dds:instance:reboot 支持:
● IAM项目(Project)
● 企业项目(Enterprise Project)
-主备倒换 dds:instance:switcho
ver 支持:
● IAM项目(Project)
● 企业项目(Enterprise Project)
-修改端口 dds:instance:modify
Port 支持:
● IAM项目(Project)
● 企业项目(Enterprise Project)
-重置密码 dds:instance:resetPa
sswd 支持:
● IAM项目(Project)
● 企业项目(Enterprise Project)
-修改SSL dds:instance:modify
SSL 支持:
● IAM项目(Project)
● 企业项目(Enterprise Project)
-修改安全
组 dds:instance:modify
SecurityGroup 支持:
● IAM项目(Project)
● 企业项目(Enterprise Project)
-绑定公网IP dds:instance:bindPu
blicIp 支持:
● IAM项目(Project)
绑定公网IP时,需要
操作 授权项 授权范围 备注 解绑公网IP dds:instance:unbind
PublicIp 支持:
● IAM项目(Project)
● 不支持企业项目
● 不支持细粒度 具体请参见浮动IP。
磁盘扩容 dds:instance:extend
Volume 支持:
● IAM项目(Project)
● 企业项目(Enterprise Project)
-规格变更 dds:instance:modify
Spec 支持:
● IAM项目(Project)
● 企业项目(Enterprise Project)
● 企业项目(Enterprise Project)