managed função personalizada
Nesta página
Os roles concedem aos usuários acesso aos recursos do MongoDB. Por padrão, o MongoDB fornece algumasroles embutidas , mas se essas roles não puderem descrever um conjunto de privilégios desejado, você poderá criar roles personalizadas.
Ao criar um papel, você especifica o reconhecimento de data center ao qual ele se aplica. O Ops Manager armazena seus roles personalizados em todas as instâncias do MongoDB em seu projeto do Ops Manager, mas identifica exclusivamente um role pela combinação do nome do banco de dados e do nome do role. Se um banco de dados com esse nome existir em vários sistemas dentro do seu projeto do Ops Manager, a role se aplicará a cada um desses bancos de dados. Se você criar um role no reconhecimento de data center admin
, o role se aplicará a todos os reconhecimento de data center admin
na implementação.
As funções consistem em privilégio que concedem acesso a ação específicas em recursos específicos. Na maioria dos reconhecimento de data center, um recurso é o reconhecimento de data center ou uma collection, mas no reconhecimento de data center admin
um recurso pode ser todos os reconhecimento de data center, todas as collection com um nome fornecido em reconhecimento de data center ou todos os deployments.
Um papel pode herdar privilégio de outros papéis em seu reconhecimento de data center. Um papel no reconhecimento de data center do admin
pode herdar privilégio de papéis em outros reconhecimento de data center.
As funções do MongoDB são separadas das funções do MongoDB Ops Manager .
Considerações
Usuários e roles managed
Quaisquer usuários ou funções que você escolher para managed em um projeto do Ops Manager têm seu valor de Synced definido como Yes
e são sincronizados com todos os sistemas no projeto.
Quaisquer usuários ou funções que você optar por não gerenciar em um projeto do Ops Manager terão seu valor de Synced definido como No
e existirão apenas em seus respectivos MongoDB deployments.
Observação
Se você alternar de Synced para OFF
após a importação, quaisquer usuários ou roles que você criar serão excluídos.
Usuários e roles consistentes
Se você impor um conjunto consistente de usuários e roles em seu projeto, o Ops Manager sincronizará esses usuários e roles em todos os sistemas desse projeto. Alterne Enforce Consistent Set para escolher se deseja ou não managed um conjunto de usuários e funções:
Enforce Consistent Set é YES
Em um managed projeto, o Ops Manager concede a todos os usuários e roles acesso a todos os sistemas. Todos os sistemas que o projeto Ops Manager managed têm o mesmo conjunto de usuários e roles do MongoDB.
O Ops Manager limita o acesso aos usuários e roles onde você define Synced como Yes
. O Ops Manager exclui todos os usuários e roles que o projeto do Ops Manager não managed dos sistemas no seu projeto.
Enforce Consistent Set é NO
Em um managed projeto, o Ops Manager permite que cada sistema use seu próprio conjunto de usuários e roles do MongoDB. O Ops Manager não precisa managed esses usuários e roles do MongoDB. Para managed esses usuários e funções, você deve conectar-se diretamente à implantação do MongoDB.
O Ops Manager concede aos usuários e roles managed do MongoDB onde você define Synced como Yes
acesso a todos os sistemas managed.
O Ops Manager limita o acesso de usuários e roles não gerenciados do MongoDB, onde você define Synced como No
, para sistemas específicos desses usuários e roles.
Observação
Enforce Consistent Set Padrão é NO
.
Para saber como a importação de deployments do MongoDB pode afetar o gerenciamento de usuários e roles, consulte Automação e configurações de segurança atualizadas na importação.
Pré-requisitos
O controle de acesso do MongoDB deve estar habilitado para aplicar roles. Você pode criar roles antes de habilitar o controle de acesso ou depois, mas elas não entrarão em vigor até que você habilite o controle de acesso.
Crie uma função personalizada do MongoDB
Navegue até a MongoDB Roles aba do seu sistema.
Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Se ainda não estiver exibido, clique em Deployment na barra lateral.
Clique na aba Security.
Clique em MongoDB Roles.
No Identifier campo, insira o banco de dados de dados no qual definir a função e insira um nome para a função.
Uma role se aplica ao reconhecimento de data center no qual está definida e pode conceder acesso até o nível da collection. A combinação do nome do papel e seu reconhecimento de data center identifica exclusivamente esse papel. Preencha os campos Identifier para atender aos métodos de autenticação e autorização que você utiliza:
Se você não usar a autenticação nem a autorização LDAP, digite o nome do banco de dados no campo database Identifier e o nome que você deseja para o role no campo name Identifier .
Se você utilizar a autenticação LDAP, mas não a autorização LDAP, digite
$external
no campo database Identifier e o nome que você deseja para o role no campo name Identifier .Se você utilizar qualquer método de autenticação com autorização LDAP, digite
admin
no campo database Identifier e o LDAP nome diferenciado do Grupo no campo name Identifier .Exemplo
No seu servidor LDAP, você criou um Grupo LDAP com um nome diferenciado de
CN=DBA,CN=Users,DC=example,DC=com
. Se você quiser criar uma role de DBA no Ops Manager vinculado a esse grupo LDAP, digiteadmin
no campo database Identifier eCN=DBA,CN=Users,DC=example,DC=com
no campo name Identifier .
Selecione os privilégios para conceder o novo role.
Você pode conceder privilégios de duas maneiras:
Dê a um role os privilégios de outro role.
Para conceder a uma nova role todos os privilégios de uma ou mais roles existentes, selecione as roles no campo Inherits From . O campo fornece uma lista suspensa que inclui funções integradas do MongoDB e quaisquer funções personalizadas que você já tenha criado.
Adicione um privilégio diretamente.
Para conceder privilégios específicos ao role, clique em ADD PRIVILEGES FOR A RESOURCE.
No campo Resource , especifique o recurso ao qual aplicar o papel. Selecione o reconhecimento de data center no menu suspenso. Para especificar todo o reconhecimento de data center, deixe o campo em branco. Para especificar uma collection, insira o nome da collection. Se o recurso estiver no reconhecimento de data center admin
, você poderá clicar em ADMIN e aplicar o role fora do reconhecimento de data center admin
.
Na seção Available Privileges , selecione as ações a serem aplicadas. Para obter uma descrição de cada ação, consulte Ações de privilégio no manual do MongoDB.
Editar uma função personalizada
Você pode alterar os privilégios de uma função personalizada. Você não pode alterar seu nome ou reconhecimento de data center.
Navegue até a MongoDB Roles aba do seu sistema.
Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Se ainda não estiver exibido, clique em Deployment na barra lateral.
Clique na aba Security.
Clique em MongoDB Roles.
Adicione ou remova privilégios dessa função.
Você pode conceder privilégios de duas maneiras:
Dê a um role os privilégios de outro role.
Para conceder a uma nova role todos os privilégios de uma ou mais roles existentes, selecione as roles no campo Inherits From . O campo fornece uma lista suspensa que inclui funções integradas do MongoDB e quaisquer funções personalizadas que você já tenha criado.
Adicione um privilégio diretamente.
Para conceder privilégios específicos ao role, clique em ADD PRIVILEGES FOR A RESOURCE.
No campo Resource , especifique o recurso ao qual aplicar o papel. Selecione o reconhecimento de data center no menu suspenso. Para especificar todo o reconhecimento de data center, deixe o campo em branco. Para especificar uma collection, insira o nome da collection. Se o recurso estiver no reconhecimento de data center admin
, você poderá clicar em ADMIN e aplicar o role fora do reconhecimento de data center admin
.
Na seção Available Privileges , selecione as ações a serem aplicadas. Para obter uma descrição de cada ação, consulte Ações de privilégio no manual do MongoDB.
Para remover uma função herdada, clique em x ao lado da função. Para remover um privilégio, clique no ícone de lixeira ao lado do privilégio.
Exibir privilégios de um role
Para ver os privilégios de uma função, clique em Deployment, depois na aba Security , em Roles e, em seguida, em view privileges ao lado da função.
Cada privilégio emparelha um recurso com um conjunto de ações de privilégio. Todas as funções são atribuídas a um banco de dados. Cada papel embutido é atribuído a banco de dados do admin
ou a cada banco de dados.
Remover uma função personalizada
Navegue até a MongoDB Roles aba do seu sistema.
Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Se ainda não estiver exibido, clique em Deployment na barra lateral.
Clique na aba Security.
Clique em MongoDB Roles.
Clique Confirm & Deploy em para implantar suas alterações.
Observação
Se Enforce Consistent Set estiver definido como Yes
, a função personalizada também será removida dos processos gerenciados do MongoDB. Se Enforce Consistent Set estiver definido como No
, você deverá remover manualmente a role com o comando dropRole .