安全概述
Cloud Manager提供可配置的加密、身份验证和授权,以确保MongoDB助手和MongoDB部署的安全。 Cloud Manager支持TLS 、 SCRAM-SHA- 1和SCRAM SHA- 256 、 LDAP和Kerberos。
TLS 加密
当 MongoDB Agent 连接到以下对象时,Cloud Manager 可以使用TLS来加密通信:
Cloud Manager。
使用TLS的 MongoDB 实例。 您必须在 Cloud Manager 中设置每个 MongoDB 主机的 Use TLS设置,并且必须配置代理的TLS设置。 请参阅配置 MongoDB 助手以使用 TLS。
访问控制和身份验证
MongoDB 使用基于角色的访问控制 (RBAC) 来确定对 MongoDB 系统的访问权限。 使用访问控制运行时,MongoDB 会要求用户对自己进行身份验证,然后确定该用户的权限。
如果您的 MongoDB 部署使用身份验证和 MongoDB Agent:
使用自动化来托管部署,Cloud Manager 创建相应的 MongoDB 用户,为其提供所有必要的角色,并以该 MongoDB 用户的身份进行部署的身份验证。
如果不使用Automation来托管部署,则必须为 MongoDB Agent 监控和Backup功能创建具有适当访问权限的 MongoDB 用户。
注意
Kerberos 和LDAP身份验证仅适用于MongoDB Enterprise 。
SCRAM-SHA-1 和 SCRAM-SHA-256
Cloud Manager 可以使用 SCRAM-SHA-1和SCRAM-SHA-256身份验证机制对 MongoDB 部署上的用户进行身份验证。
如果您的 MongoDB 部署使用SCRAM身份验证和 MongoDB Agent:
使用自动化来管理部署,Cloud Manager 创建相应的 MongoDB 用户并为其授予所有必要的角色。
如果不使用Automation来托管部署,则必须为 MongoDB Agent 监控和备份功能创建 MongoDB 用户。
LDAP
注意
从 MongoDB 8.0 开始,LDAP 身份验证和授权已弃用。该功能可用,并将在 MongoDB 的整个生命周期内继续运行,无需更改 8。LDAP 将在将来的主要版本中删除。
有关详细信息,请参阅 LDAP 弃用。
MongoDB Agent可以使用LDAP身份验证机制对MongoDB 部署进行身份验证。
如果您的 MongoDB 部署使用LDAP进行身份验证,则必须为 MongoDB Agent 创建 MongoDB 用户,并在执行以下操作时指定主机的身份验证设置:
Kerberos
MongoDB Agent可以使用Kerberos身份验证机制对MongoDB部署进行身份验证。
如果 MongoDB 部署使用 Kerberos 进行身份验证,则必须:
使用相同的 Kerberos UPN实现自动化和备份功能。
在以下情况下指定主机的身份验证设置:
添加主机或