カスタムロールの管理
- Cloud Managerへのプログラムによるアクセスのための OAuth 2.0認証はプレビュー機能として利用できます。
- 機能および関連するドキュメントは、プレビュー期間中にいつでも変更される可能性があります。 OAuth2.0 認証を使用するには、 Cloud Manager Public APIへのリクエストで使用する サービス アカウント を作成します。
ロールはユーザーに MongoDB リソースへのアクセスを許可します。 デフォルトでは、MongoDB はいくつかの組み込みロール を提供しますが、これらのロールで目的の特権セットを記述できない場合は、カスタムロールを作成できます。
ロールを作成するときは、それを適用するデータベースを指定します。 Cloud Manager は、Cloud Manager プロジェクト内のすべての MongoDB インスタンスにカスタムロールを保存しますが、データベース名とロール名の組み合わせによってロールを一意に識別します。 Cloud Manager プロジェクト内の複数の配置にその名前のデータベースが存在する場合、ロールはそれらの各データベースに適用されます。 admin
データベースにロールを作成すると、そのロールは配置内のすべてのadmin
データベースに適用されます。
ロールは、特定のリソースに対する特定のアクションへのアクセスを許可する特権で構成されています。 ほとんどのデータベースでは、リソースはデータベースまたはコレクションですが、 admin
データベースでは、リソースはすべてのデータベース、データベース全体の特定の名前のすべてのコレクション、またはすべての配置にすることができます。
ロールはデータベース内の他のロールから特権を継承することができます。 admin
データベースのロールは、他のデータベースのロールから特権を継承することができます。
MongoDB ロールは Cloud Managerロールとは別です。
Considerations
管理対象のユーザーとロール
Cloud Manager プロジェクトで管理することを選択したユーザーまたはロールの Synced値はYes
に設定され、プロジェクト内のすべての配置に同期されます。
Cloud Manager プロジェクトで管理することを選択しないユーザーまたはロールは、 Synced値がNo
に設定され、それぞれの MongoDB 配置にのみ存在します。
注意
インポート後にSyncedをOFF
に切り替えると、作成したユーザーまたはロールがすべて削除されます。
一貫したユーザーとロール
プロジェクトで一貫したユーザーとロールのセットを強制すると、Cloud Manager はこれらのユーザーとロールをそのプロジェクト内のすべての配置で同期します。 Enforce Consistent Setを切り替えて、ユーザーとロールの 1 セットを管理するかどうかを選択します。
Enforce Consistent Set とは YES
管理対象のプロジェクトでは、Cloud Manager はすべてのユーザーとロールにすべての配置へのアクセスを許可します。 Cloud Manager プロジェクトが管理するすべての配置には、同じ MongoDB ユーザーとロールのセットが同じです。
Cloud Manager は、 SyncedをYes
に設定するユーザーとロールへのアクセスを制限します。 Cloud Manager は、Cloud Manager プロジェクトが管理していないすべてのユーザーとロールをプロジェクトの配置から削除します。
Enforce Consistent Set とは NO
管理対象のプロジェクトでは、Cloud Manager は各配置で独自の MongoDB ユーザーとロールのセットを使用できるようにします。 Cloud Manager では、これらの MongoDB ユーザーとロールを管理する必要はありません。 これらのユーザーとロールを管理するには、MongoDB 配置に直接接続する必要があります。
Cloud Manager では、 SyncedをYes
に設定する管理対象の MongoDB ユーザーとロールに、すべての管理対象配置へのアクセス権が付与されます。
Cloud Manager は、 SyncedをNo
に設定している非管理の MongoDB ユーザーとロールのアクセスを、それらのユーザーの と ロールの特定の配置に制限します。
注意
Enforce Consistent Set デフォルトは NO
です。
MongoDB 配置のインポートがユーザーとロールの管理に影響する方法については、「インポート時のオートメーションと更新されたセキュリティ設定 」を参照してください。
roleNames
オートメーションによって管理される配置のカスタムロールMongodbAutomationAgentUserRole
に名前を付けることはできません。これはMongoDB Agent のmms-automation
ユーザーによって使用される内部ロール名であるためです。
前提条件
ロールを適用するには、MongoDB アクセス制御を有効にする必要があります。 アクセス制御を有効にする前または後にロールを作成できGoが、アクセス制御を有効にするまでこれらは有効になりません。
カスタム MongoDB ロールの作成
MongoDB Cloud ManagerGoDeploymentMongoDB Cloud Managerで、プロジェクトの ページにGoします。
まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。
Deployment ページがまだ表示されていない場合は、サイドバーの Deployment をクリックします。
配置ページが表示されます。
Security ページに移動します。
配置の [ Security ] タブをクリックします。
[セキュリティ ]ページが表示されます。
Identifierフィールドに、ロールを定義するデータベースを入力し、ロールの名前を入力します。
ロールは、そのロールが定義されているデータベースに適用され、コレクション レベルへのアクセス権を付与できます。 ロール名とそのデータベースの組み合わせによって、そのロールは一意に識別されます。 使用する認証方法と認可方法を満たすために、 Identifierフィールドを入力します。
LDAP 認証も認可も使用しない場合は、 database Identifierフィールドにデータベース名を入力し、 name Identifierフィールドにロールに必要な名前を入力します。
LDAP 認証を使用するが LDAP 認可を使用しない場合は、 database Identifierフィールドに
$external
と入力し、 name Identifierフィールドにロールの名前を入力します。LDAP 認可で任意の認証方法を使用する場合は、 database Identifierフィールドに
admin
と入力し、 name Identifierフィールドに LDAP グループ DN を入力します。例
LDAP サーバーに、識別名が
CN=DBA,CN=Users,DC=example,DC=com
の LDAP グループを作成しました。 この LDAP グループにリンクされた Cloud Manager で DBA ロールを作成する場合は、admin
databaseIdentifierフィールドにCN=DBA,CN=Users,DC=example,DC=com
と入力し、nameIdentifier フィールドに と入力します。
カスタムロールを編集する
カスタムロールの権限を変更することができます。 その名前またはデータベースは変更できません。
MongoDB Cloud ManagerGoDeploymentMongoDB Cloud Managerで、プロジェクトの ページにGoします。
まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。
Deployment ページがまだ表示されていない場合は、サイドバーの Deployment をクリックします。
配置ページが表示されます。
Security ページに移動します。
配置の [ Security ] タブをクリックします。
[セキュリティ ]ページが表示されます。
ロールの特権を表示
ロールの特権を表示するには:
MongoDB Cloud ManagerGoDeploymentMongoDB Cloud Managerで、プロジェクトの ページにGoします。
まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。
Deployment ページがまだ表示されていない場合は、サイドバーの Deployment をクリックします。
配置ページが表示されます。
Security ページに移動します。
配置の [ Security ] タブをクリックします。
[セキュリティ ]ページが表示されます。
各特権は、リソースを特権アクションのセットと組み合わせます。 すべてのロールにはデータベースが割り当てられます。 各組み込みロールは、 admin
データベースまたはすべてのデータベースのいずれかに割り当てられます。
カスタムロールを削除する
MongoDB Cloud ManagerGoDeploymentMongoDB Cloud Managerで、プロジェクトの ページにGoします。
まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。
Deployment ページがまだ表示されていない場合は、サイドバーの Deployment をクリックします。
配置ページが表示されます。
Security ページに移動します。
配置の [ Security ] タブをクリックします。
[セキュリティ ]ページが表示されます。