安全概述
Cloud Manager提供可配置的加密、身份验证和授权,以确保MongoDB助手和MongoDB部署的安全。 Cloud Manager支持TLS 、 SCRAM-SHA- 1和SCRAM SHA- 256 、 LDAP和Kerberos。
TLS 加密
当 MongoDB Agent 连接到以下对象时,Cloud Manager 可以使用TLS来加密通信:
Cloud Manager。
使用TLS的MongoDB实例。 您必须在Cloud Manager中设立每个MongoDB主机的 Use TLS设置,并且必须配置代理的TLS设置。 请参阅 配置MongoDB Agent以使用 TLS。
访问控制和身份验证
MongoDB 使用基于角色的访问控制 (RBAC) 来确定对 MongoDB 系统的访问权限。 使用访问控制运行时,MongoDB 会要求用户对自己进行身份验证,然后确定该用户的权限。
如果您的 MongoDB 部署使用身份验证和 MongoDB Agent:
使用自动化来托管部署,Cloud Manager 创建相应的 MongoDB 用户,为其提供所有必要的角色,并以该 MongoDB 用户的身份进行部署的身份验证。
如果不使用Automation来托管部署,则必须为 MongoDB Agent 监控和Backup功能创建具有适当访问权限的 MongoDB 用户。
注意
Kerberos 和LDAP身份验证仅适用于MongoDB Enterprise 。
SCRAM-SHA-1 和 SCRAM-SHA-256
Cloud Manager 可以使用 SCRAM-SHA-1和SCRAM-SHA-256身份验证机制对 MongoDB 部署上的用户进行身份验证。
另请参阅:
要了解 SCRAM,请参阅 MongoDB 手册中的SCRAM 页面。
如果您的 MongoDB 部署使用SCRAM身份验证和 MongoDB Agent:
使用自动化来管理部署,Cloud Manager 创建相应的 MongoDB 用户并为其授予所有必要的角色。
如果不使用Automation来托管部署,则必须为 MongoDB Agent 监控和备份功能创建 MongoDB 用户。
LDAP
注意
从 MongoDB 8.0 开始,LDAP 身份验证和授权已弃用。该功能可用,并将在 MongoDB 的整个生命周期内继续运行,无需更改 8。LDAP 将在将来的主要版本中删除。
有关详细信息,请参阅 LDAP 弃用。
MongoDB Agent可以使用LDAP身份验证机制对MongoDB 部署进行身份验证。
如果您的 MongoDB 部署使用LDAP进行身份验证,则必须为 MongoDB Agent 创建 MongoDB 用户,并在执行以下操作时指定主机的身份验证设置:
Kerberos
MongoDB Agent可以使用Kerberos身份验证机制对MongoDB部署进行身份验证。
如果 MongoDB 部署使用 Kerberos 进行身份验证,则必须:
使用相同的 Kerberos UPN实现自动化和备份功能。
在以下情况下指定主机的身份验证设置:
添加主机或