设置自我管理的 X.509 身份验证

在此页面上

先决条件

配置项目以使用公钥基础设施
使用自管理 X.509 身份验证添加数据库用户

自管理的 X. 509证书允许数据库用户访问权限其项目中的集群。数据库用户与Atlas用户是分开的。数据库用户可以访问权限MongoDB数据库，而Atlas用户可以访问权限Atlas应用程序本身。

先决条件

要使用自管理的 X.509 证书，您必须拥有公钥基础架构才能与 MongoDB Atlas 集成。

配置项目以使用公钥基础设施

在Atlas中，转到项目的Advanced 页面。

如果尚未显示，请从导航栏上的 Organizations 菜单中选择包含项目的组织。
如果尚未显示，请从导航栏的 Projects 菜单中选择您的项目。
在侧边栏中，单击 Security 标题下的 Advanced。
显示 “高级”页面。

打开自管理的 X.509 身份验证功能。

将 Self-Managed X.509 Authentication 切换到 ON。

提供 PEM 编码的证书颁发机构。

您可以通过以下方式提供证书颁发机构 (CA)：

单击Upload并从文件系统中选择一个 .pem文件。
将.pem文件的内容复制到提供的文本区域。

您可以在同一.pem文件或文本区域中连接多个 CA。用户可以使用任何提供的 CA 生成的证书进行身份验证。

上传 CA 时，系统会自动创建项目级警报，以便在 CA 过期前30天发送通知，每24小时重复一次。您可以从 Atlas 的Alert Settings页面查看和编辑此警报。有关配置警报的更多信息，请参阅配置警报设置。

单击Save 。

要在上传后编辑 CA，请单击Self-Managed X.509 Authentication Settings图标。

使用自管理 X.509 身份验证添加数据库用户

在Atlas中，转到项目的Database Access 页面。

如果尚未显示，请从导航栏上的 Organizations 菜单中选择包含项目的组织。
如果尚未显示，请从导航栏的 Projects 菜单中选择您的项目。
在侧边栏中，单击 Security 标题下的 Database Access。
显示数据库访问页面。

打开Add New Database User 对话框。

如果尚未显示，请单击 Database Users 标签页。
单击 Add New Database User（添加新的数据库用户）。

选择CERTIFICATE 。

输入用户信息。

字段

说明

Common Name

受 TLS/SSL 证书保护的用户公用名 (CN)。有关详细信息，请参阅 RFC2253 。

示例，如果您的常用名是“Jane Doe”，您的组织是“MongoDB”，您的国家/地区是“US”，则在Common Name字段中插入以下内容：

CN=Jane Doe,O=MongoDB,C=US

User Privileges

可以通过以下方式之一分配角色：

选择 Atlas admin，为用户提供 readWriteAnyDatabase 以及一些管理权限。
选择 Read and write to any database，将授权用户读取和写入任意数据库。
选择 Only read any database（仅读取任意数据库），将授权用户读取任意数据库。
选择Select Custom Role以选择之前在 Atlas 中创建的自定义角色。如果内置数据库用户角色无法描述所需的权限集，您可以为数据库用户创建自定义角色。有关自定义角色的更多信息，请参阅配置自定义数据库角色。

单击 Add Default Privileges（添加默认权限）。单击此选项之后，可以选择个别角色以及指定角色适用的数据库。（可选）对于 read 和 readWrite 角色，还可以指定一个集合。如果没有为 read 和 readWrite 指定集合，角色将适用于数据库中的所有非system（系统）集合。

下表描述了 Atlas 的特定权限、所适用的数据库及其代表的特权操作。

Atlas 特定特权	Database	特权操作
`backup`	`admin`	`listDatabases` `listCollections` `listIndexes` `appendOplogNote` `getParameter` `serverStatus`
`clusterMonitor`	`admin`	`connPoolStats` `getCmdLineOpts` `getDefaultRWConcern` `getLog` `getParameter` `getShardMap` `hostInfo` `inprog` `listDatabases` `listSessions` `listShards` `replSetGetConfig` `replSetGetStatus` `serverStatus` `shardingState` `top`
`dbAdmin`	用户已配置	`bypassDocumentValidation` `changeStream` `collMod` `collStats` `compact` `convertToCapped` `createCollection` `createIndex` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `dropDatabase` `dropIndex` `dropSearchIndex` `enableProfiler` `find` `killCursors` `listCollections` `listIndexes` `listSearchIndexes` `planCacheIndexFilter` `planCacheRead` `planCacheWrite` `reIndex` `renameCollectionSameDB` `storageDetails` `updateSearchIndex` `validate`
`dbAdminAnyDatabase`	除了 `local` 和 `config` 之外的用户配置	`dbAdminAnyDatabase`
`enableSharding`		`enableSharding`
`read`	用户已配置	`changeStream` `collStats` `dbHash` `dbStats` `find` `killCursors` `listIndexes` `listCollections` `listSearchIndexes`
`readWrite`	用户已配置	`changeStream` `collStats` `convertToCapped` `createCollection` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `createIndex` `dropIndex` `dropSearchIndex` `find` `insert` `killCursors` `listIndexes` `listCollections` `listSearchIndexes` `remove` `renameCollectionSameDB` `update`
`killOpSession`	用户已配置	`inprog` `killop` `killAnySession` `killCursors` `listSessions`
`readWriteAnyDatabase`	除了 `local` 和 `config` 之外的用户配置	`readWriteAnyDatabase` `changeStream` `collStats` `convertToCapped` `createCollection` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `dropSearchIndex` `createIndex` `dropIndex` `find` `insert` `killCursors` `listIndexes` `listCollections` `listDatabases` `listSearchIndexes` `remove` `renameCollectionSameDB` `update`
`readAnyDatabase`	除了 `local` 和 `config` 之外的用户配置	`readAnyDatabase` `changeStream` `collStats` `dbHash` `dbStats` `find` `killCursors` `listIndexes` `listCollections` `listDatabases` `listSearchIndexes`

有关 Atlas 内置权限的信息，请参阅内置角色。

有关授权的更多信息，请参阅 MongoDB 手册中的基于角色的访问控制和内置角色。

单击Add User 。

后退

数据库用户

来年

AWS IAM