Docs Menu
Docs Home
/
MongoDB Cloud Manager
/
セキュリティ
/
認証による保護
/
ユーザーとロールの管理

カスタムロールの管理

項目一覧

  • Considerations
  • 前提条件
  • カスタム MongoDB ロールの作成
  • カスタムロールを編集する
  • ロールの特権を表示
  • カスタムロールを削除する

ロールはユーザーに MongoDB リソースへのアクセスを許可します。 デフォルトでは、MongoDB はいくつかの組み込みロール を提供しますが、これらのロールで目的の特権セットを記述できない場合は、カスタムロールを作成できます。

ロールを作成するときは、それを適用するデータベースを指定します。 Cloud Manager は、Cloud Manager プロジェクト内のすべての MongoDB インスタンスにカスタムロールを保存しますが、データベース名とロール名の組み合わせによってロールを一意に識別します。 Cloud Manager プロジェクト内の複数の配置にその名前のデータベースが存在する場合、ロールはそれらの各データベースに適用されます。 adminデータベースにロールを作成すると、そのロールは配置内のすべてのadminデータベースに適用されます。

ロールは、特定のリソースに対する特定のアクションへのアクセスを許可する特権で構成されています。 ほとんどのデータベースでは、リソースはデータベースまたはコレクションですが、 adminデータベースでは、リソースはすべてのデータベース、データベース全体の特定の名前のすべてのコレクション、またはすべての配置にすることができます。

ロールはデータベース内の他のロールから特権を継承することができます。 adminデータベースのロールは、他のデータベースのロールから特権を継承することができます。

MongoDB ロールは Cloud Managerロールとは別です。

Considerations

管理対象のユーザーとロール

Cloud Manager プロジェクトで管理することを選択したユーザーまたはロールの Synced値はYesに設定され、プロジェクト内のすべての配置に同期されます。

Cloud Manager プロジェクトで管理することを選択しないユーザーまたはロールは、 Synced値がNoに設定され、それぞれの MongoDB 配置にのみ存在します。

注意

インポート後にSyncedOFFに切り替えると、作成したユーザーまたはロールがすべて削除されます。

一貫したユーザーとロール

プロジェクトで一貫したユーザーとロールのセットを強制すると、Cloud Manager はこれらのユーザーとロールをそのプロジェクト内のすべての配置で同期します。 Enforce Consistent Setを切り替えて、ユーザーとロールの 1 セットを管理するかどうかを選択します。

Enforce Consistent Set とは YES

管理対象のプロジェクトでは、Cloud Manager はすべてのユーザーとロールにすべての配置へのアクセスを許可します。 Cloud Manager プロジェクトが管理するすべての配置には、同じ MongoDB ユーザーとロールのセットが同じです。

Cloud Manager は、 SyncedYesに設定するユーザーとロールへのアクセスを制限します。 Cloud Manager は、Cloud Manager プロジェクトが管理していないすべてのユーザーとロールをプロジェクトの配置から削除します。

Enforce Consistent Set とは NO

管理対象のプロジェクトでは、Cloud Manager は各配置で独自の MongoDB ユーザーとロールのセットを使用できるようにします。 Cloud Manager では、これらの MongoDB ユーザーとロールを管理する必要はありません。 これらのユーザーとロールを管理するには、MongoDB 配置に直接接続する必要があります。

Cloud Manager では、 SyncedYesに設定する管理対象の MongoDB ユーザーとロールに、すべての管理対象配置へのアクセス権が付与されます。

Cloud Manager は、 SyncedNoに設定している非管理の MongoDB ユーザーとロールのアクセスを、それらのユーザーの と ロールの特定の配置に制限します。

注意

Enforce Consistent Set デフォルトは NO です。

MongoDB 配置のインポートがユーザーとロールの管理に影響する方法については、「インポート時のオートメーションと更新されたセキュリティ設定 」を参照してください。

roleNames

オートメーションによって管理される配置のカスタムロールMongodbAutomationAgentUserRoleに名前を付けることはできません。これはMongoDB Agent のmms-automationユーザーによって使用される内部ロール名であるためです。

前提条件

ロールを適用するには、MongoDB アクセス制御を有効にする必要があります。 アクセス制御を有効にする前または後にロールを作成できGoが、アクセス制御を有効にするまでこれらは有効になりません。

カスタム MongoDB ロールの作成

1

MongoDB Cloud ManagerGoDeploymentMongoDB Cloud Managerで、プロジェクトの ページにGoします。

  1. まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。

  3. Deployment ページがまだ表示されていない場合は、サイドバーの Deployment をクリックします。

    配置ページが表示されます。

2

Securityページに移動します。

配置の [ Security ] タブをクリックします。

[セキュリティ ]ページが表示されます。

3

[]MongoDB Roles タブをクリックします。

4

[Add New Role] をクリックします。

5

Identifierフィールドに、ロールを定義するデータベースを入力し、ロールの名前を入力します。

ロールは、そのロールが定義されているデータベースに適用され、コレクション レベルへのアクセス権を付与できます。 ロール名とそのデータベースの組み合わせによって、そのロールは一意に識別されます。 使用する認証方法と認可方法を満たすために、 Identifierフィールドを入力します。

  • LDAP 認証も認可も使用しない場合は、 database Identifierフィールドにデータベース名を入力し、 name Identifierフィールドにロールに必要な名前を入力します。

  • LDAP 認証を使用するが LDAP 認可を使用しない場合は、 database Identifierフィールドに$externalと入力し、 name Identifierフィールドにロールの名前を入力します。

  • LDAP 認可で任意の認証方法を使用する場合は、 database Identifierフィールドにadminと入力し、 name Identifierフィールドに LDAP グループ DN を入力します。

    LDAP サーバーに、識別名がCN=DBA,CN=Users,DC=example,DC=comの LDAP グループを作成しました。 この LDAP グループにリンクされた Cloud Manager で DBA ロールを作成する場合は、admin databaseIdentifierフィールドにCN=DBA,CN=Users,DC=example,DC=com と入力し、nameIdentifier フィールドに と入力します。

6

新しいロールに付与する特権を選択します。

7

[Add Privileges] をクリックします。

8

[Add Role] をクリックします。

9

Review & Deploy変更内容を確認するには、 をクリックします。

10

Confirm & Deploy変更を配置するには、 をクリックします。

そうでない場合は、 Cancelをクリックすると、追加の変更を行うことができます。

カスタムロールを編集する

カスタムロールの権限を変更することができます。 その名前またはデータベースは変更できません。

1

MongoDB Cloud ManagerGoDeploymentMongoDB Cloud Managerで、プロジェクトの ページにGoします。

  1. まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。

  3. Deployment ページがまだ表示されていない場合は、サイドバーの Deployment をクリックします。

    配置ページが表示されます。

2

Securityページに移動します。

配置の [ Security ] タブをクリックします。

[セキュリティ ]ページが表示されます。

3

[]MongoDB Roles タブをクリックします。

4

Edit変更するロールの横にある [] をクリックします。

5

新しいロールに付与する特権を選択します。

6

[Save Changes] をクリックします。

7

Review & Deploy変更内容を確認するには、 をクリックします。

8

Confirm & Deploy変更を配置するには、 をクリックします。

そうでない場合は、 Cancelをクリックすると、追加の変更を行うことができます。

ロールの特権を表示

ロールの特権を表示するには:

1

MongoDB Cloud ManagerGoDeploymentMongoDB Cloud Managerで、プロジェクトの ページにGoします。

  1. まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。

  3. Deployment ページがまだ表示されていない場合は、サイドバーの Deployment をクリックします。

    配置ページが表示されます。

2

Securityページに移動します。

配置の [ Security ] タブをクリックします。

[セキュリティ ]ページが表示されます。

3

特権を表示します。

  1. [Roles] をクリックします。

  2. ロールの横にある [ view privileges ] をクリックします。

各特権は、リソースを特権アクションのセットと組み合わせます。 すべてのロールにはデータベースが割り当てられます。 各組み込みロールは、 adminデータベースまたはすべてのデータベースのいずれかに割り当てられます。

カスタムロールを削除する

1

MongoDB Cloud ManagerGoDeploymentMongoDB Cloud Managerで、プロジェクトの ページにGoします。

  1. まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。

  3. Deployment ページがまだ表示されていない場合は、サイドバーの Deployment をクリックします。

    配置ページが表示されます。

2

Securityページに移動します。

配置の [ Security ] タブをクリックします。

[セキュリティ ]ページが表示されます。

3

[]MongoDB Roles タブをクリックします。

4

削除するロールの横にある Synced値を Noに設定します。

5

[]Unsync をクリックして確認します。

6

Review & Deploy変更内容を確認するには、 をクリックします。

7

Confirm & Deploy変更を配置するには、 をクリックします。

そうでない場合は、 Cancelをクリックすると、追加の変更を行うことができます。

戻る

MongoDB ユーザーの管理

次へ

セキュリティ設定のクリア