managed função personalizada
Nesta página
- A autenticação OAuth 2.0 para acesso programático ao Cloud Manager está disponível como um recurso de visualização.
- O recurso e a documentação correspondente podem mudar a qualquer momento durante o período de Pré-visualização. Para usar a 2.0 autenticação OAuth, crie uma conta de serviço para usar em suas solicitações para a API pública do Cloud Manager .
Os roles concedem aos usuários acesso aos recursos do MongoDB. Por padrão, o MongoDB fornece algumas funções internas, mas se essas funções não puderem descrever um conjunto de privilégios desejado, você poderá criar funções personalizadas.
Ao criar um papel, você especifica o reconhecimento de data center ao qual ele se aplica. O Cloud Manager armazena suas funções personalizadas em todas as instâncias do MongoDB em seu projeto do Cloud Manager, mas identifica exclusivamente uma função pela combinação do nome do reconhecimento de data center e do nome da função. Se um reconhecimento de data center com esse nome existir em vários sistemas dentro do seu projeto do Cloud Manager, a role se aplicará a cada um desses reconhecimento de data center. Se você criar um role no reconhecimento de data center admin
, o role se aplicará a todos os reconhecimento de data center admin
na implementação.
As funções consistem em privilégio que concedem acesso a ação específicas em recursos específicos. Na maioria dos reconhecimento de data center, um recurso é o reconhecimento de data center ou uma collection, mas no reconhecimento de data center admin
um recurso pode ser todos os reconhecimento de data center, todas as collection com um nome fornecido em reconhecimento de data center ou todos os deployments.
Um papel pode herdar privilégio de outros papéis em seu reconhecimento de data center. Um papel no reconhecimento de data center do admin
pode herdar privilégio de papéis em outros reconhecimento de data center.
As funções do MongoDB são separadas das funções do Cloud Manager.
Considerações
Usuários e roles managed
Quaisquer usuários ou funções que você escolher para managed em um projeto do Cloud Manager têm seu valor de Synced definido como Yes
e são sincronizados com todos os sistemas no projeto.
Quaisquer usuários ou funções que você optar por não managed em um projeto do Cloud Manager terão seu valor de Synced configurado para No
e existirão somente em seus respectivos MongoDB deployments.
Observação
Se você alternar de Synced para OFF
após a importação, quaisquer usuários ou roles que você criar serão excluídos.
Usuários e roles consistentes
Se você impor um conjunto consistente de usuários e papéis em seu projeto, o Cloud Manager sincronizará estes usuários e papéis em todas as implantações neste projeto. Alterne Enforce Consistent Set para escolher se deseja ou não managed um conjunto de usuários e funções:
Enforce Consistent Set é YES
Em um projeto gerenciado, o Cloud Manager concede a todos os usuários e roles acesso a todos os sistemas. Todas as implantações que o projeto do Cloud Manager managed têm o mesmo conjunto de usuários e funções do MongoDB.
O Cloud Manager limita o acesso aos usuários e roles onde você define Synced como Yes
. O Cloud Manager exclui todos os usuários e roles que o projeto do Cloud Manager não gerencia das implantações em seu projeto.
Enforce Consistent Set é NO
Em um projeto gerenciado, o Cloud Manager permite que cada sistema use seu próprio conjunto de usuários e roles do MongoDB. O Cloud Manager não precisa gerenciar esses usuários e roles do MongoDB. Para gerenciar esses usuários e funções, você deve conectar-se diretamente à implantação do MongoDB.
O Cloud Manager concede aos usuários e roles gerenciados do MongoDB onde você define Synced como Yes
acesso a todos os sistemas gerenciados.
O Cloud Manager limita o acesso de usuários e roles não gerenciados do MongoDB, onde você define Synced como No
, para sistemas específicos desses usuários e roles.
Observação
Enforce Consistent Set Padrão é NO
.
Para saber como a importação de deployments do MongoDB pode afetar o gerenciamento de usuários e roles, consulte Automação e configurações de segurança atualizadas na importação.
roleNames
Você não pode nomear uma função personalizada MongodbAutomationAgentUserRole
para implantações gerenciadas pela Automação, pois este é um nome de função interna usado pelo usuário mms-automation
do MongoDB Agent.
Pré-requisitos
O controle de acesso do MongoDB deve estar habilitado para aplicar roles. Você pode criar roles antes de habilitar o controle de acesso ou depois, mas elas não entrarão em vigor até que você habilite o controle de acesso.
Crie uma função personalizada do MongoDB
No MongoDB Cloud Manager, acesse aGo Deployment página do seu projeto.
Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Se a página Deployment ainda não estiver exibida, clique em Deployment na barra lateral.
A página Sistema é exibida.
Acesse a página Security.
Clique na aba Security para sua implantação.
A página Segurança é exibida.
No Identifier campo, insira o banco de dados de dados no qual definir a função e insira um nome para a função.
Uma role se aplica ao reconhecimento de data center no qual está definida e pode conceder acesso até o nível da collection. A combinação do nome do papel e seu reconhecimento de data center identifica exclusivamente esse papel. Preencha os campos Identifier para atender aos métodos de autenticação e autorização que você utiliza:
Se você não usar a autenticação nem a autorização LDAP, digite o nome do banco de dados no campo database Identifier e o nome que você deseja para o role no campo name Identifier .
Se você utilizar a autenticação LDAP, mas não a autorização LDAP, digite
$external
no campo database Identifier e o nome que você deseja para o role no campo name Identifier .Se você utilizar qualquer método de autenticação com autorização LDAP, digite
admin
no campo database Identifier e o LDAP nome diferenciado do Grupo no campo name Identifier .Exemplo
No seu servidor LDAP, você criou um Grupo LDAP com um nome diferenciado de
CN=DBA,CN=Users,DC=example,DC=com
. Se você quiser criar uma role de DBA no Cloud Manager vinculado a esse grupo LDAP, digiteadmin
no campo database Identifier eCN=DBA,CN=Users,DC=example,DC=com
no campo name Identifier .
Editar uma função personalizada
Você pode alterar os privilégios de uma função personalizada. Você não pode alterar seu nome ou reconhecimento de data center.
No MongoDB Cloud Manager, acesse aGo Deployment página do seu projeto.
Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Se a página Deployment ainda não estiver exibida, clique em Deployment na barra lateral.
A página Sistema é exibida.
Acesse a página Security.
Clique na aba Security para sua implantação.
A página Segurança é exibida.
Exibir privilégios de um role
Para visualizar os privilégios de um role:
No MongoDB Cloud Manager, acesse aGo Deployment página do seu projeto.
Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Se a página Deployment ainda não estiver exibida, clique em Deployment na barra lateral.
A página Sistema é exibida.
Acesse a página Security.
Clique na aba Security para sua implantação.
A página Segurança é exibida.
Cada privilégio emparelha um recurso com um conjunto de ações de privilégio. Todas as funções são atribuídas a um banco de dados. Cada papel embutido é atribuído a banco de dados do admin
ou a cada banco de dados.
Remover uma função personalizada
No MongoDB Cloud Manager, acesse aGo Deployment página do seu projeto.
Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Se a página Deployment ainda não estiver exibida, clique em Deployment na barra lateral.
A página Sistema é exibida.
Acesse a página Security.
Clique na aba Security para sua implantação.
A página Segurança é exibida.