Make the MongoDB docs better! We value your opinion. Share your feedback for a chance to win $100.
Click here >
Docs Menu
Docs Home
/ /
Gestionar Usuarios y Roles
Docs Home
/ /
Asegurar con autenticación
/
Gestionar Usuarios y Roles
Docs Home
/
Gestión
/
Cloud Manager
/
Seguridad
/
Asegurar con autenticación
/
Gestionar Usuarios y Roles

Gestionar roles personalizados

Los roles otorgan a los usuarios acceso a los recursos de MongoDB. Por defecto, MongoDB proporciona algunos roles integrados, pero si estos roles no pueden describir un conjunto de privilegios deseado, se pueden crear roles personalizados.

Al crear un rol, se especifica la base de datos a la que se aplica. Cloud Manager almacena tus roles personalizados en todas las instancias de MongoDB en tu proyecto de Cloud Manager, pero identifica exclusivamente un rol por la combinación del nombre de la base de datos y el nombre del rol. Si existe una base de datos con ese nombre en varias implementaciones dentro de tu proyecto de Cloud Manager, el rol se aplicará a cada una de esas bases de datos. Si creas un rol en la admin base de datos, el rol se aplica a todas las bases de datos admin en la implementación.

Los roles consisten en privilegios que otorgan acceso a acciones específicas sobre recursos específicos. En la mayoría de las bases de datos, un recurso es la base de datos o una colección, pero en la base de datos admin un recurso puede ser todas las bases de datos, todas las colecciones con un nombre determinado entre bases de datos o todas las implementaciones.

Un rol puede heredar privilegios de otros roles en su base de datos. Un rol en la base de datos admin puede heredar privilegios de roles de otras bases de datos.

Los roles de MongoDB son independientes de Cloud Manager rol.

Considerations

Usuarios y roles gestionados

Cualquier usuario o rol que elija administrar en un proyecto de Cloud Manager tendrá su Synced valor establecido en Yes y se sincroniza con todas las implementaciones en el proyecto.

Cualquier usuario o rol que no elijas gestionar en un proyecto de Cloud Manager tiene su valor Synced configurado a No y sólo existe en sus respectivas implementaciones de MongoDB.

Nota

Si activas Synced en OFF después de la importación, cualquier usuario o rol que crees se borrará.

Usuarios y roles coherentes

Si se aplica un conjunto coherente de usuarios y roles en su Proyecto, Cloud Manager sincroniza estos usuarios y roles en todas las implementaciones de ese Proyecto. Activa o desactiva Enforce Consistent Set para elegir si quieres administrar un solo conjunto de usuarios y roles:

Enforce Consistent Set es YES

En un proyecto gestionado, Cloud Manager concede a todos los usuarios y roles acceso a todas las implementaciones. Todas las implementaciones que gestiona el Proyecto Cloud Manager tienen el mismo conjunto de usuarios y roles de MongoDB.

Cloud Manager limita el acceso a los usuarios y roles donde se establece Synced en Yes. Cloud Manager elimina todos los usuarios y roles que el proyecto Cloud Manager no gestiona de las implementaciones de tu proyecto.

Enforce Consistent Set es NO

En un proyecto gestionado, Cloud Manager permite que cada implementación utilice su propio conjunto de usuarios y roles de MongoDB. Cloud Manager no necesita gestionar estos usuarios de MongoDB ni sus roles. Para gestionar estos usuarios y roles, debe conectarse directamente a la implementación de MongoDB.

Cloud Manager concede a los usuarios y roles de MongoDB administrados donde establezca Synced en Yes acceso a todas las implementaciones gestionadas.

Cloud Manager limita el acceso de usuarios y roles no administrados de MongoDB, donde configuras Synced en No, a las implementaciones específicas de esos usuarios y roles.

Nota

Enforce Consistent Set Se establece por defecto en NO.

Para aprender cómo la importación de implementaciones de MongoDB puede afectar la gestión de usuarios y roles, consulta Automatización y configuración de seguridad actualizado tras la importación.

Nombres de roles

No puedes asignar un nombre como MongodbAutomationAgentUserRole a un rol personalizado para implementaciones gestionadas por Automatización, ya que este es un nombre de rol interno usado por el usuario mms-automation del Agente MongoDB.

Requisito previo

El control de acceso de MongoDB debe estar habilitado para poder aplicar roles. Se pueden crear funciones antes de habilitar el control de acceso o después, pero no entran en vigor hasta que se habilite el control de acceso.

Crear un rol personalizado de MongoDB

1

En MongoDB Cloud Manager, ir a la página Security del proyecto.

  1. Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Security en la sección Database.

Se muestra la página de Seguridad.

2

Haz clic en la pestaña MongoDB Roles.

3

Haga clic en Add New Role.

4

En el campo Identifier, ingrese la base de datos en la que se debe definir el rol e ingrese un nombre para el rol.

Un rol se aplica a la base de datos en la que se define y puede conceder acceso hasta el nivel de colección. La combinación del nombre del rol y su base de datos identifica de manera única ese rol. Complete los campos Identifier para cumplir con los métodos de autenticación y autorización que utiliza:

  • Si no se utiliza la autenticación ni la autorización por LDAP, se debe escribir el nombre de la base de datos en el campo database Identifier y el nombre que se desea para el rol en el campo name Identifier.

  • Si utilizas la autenticación LDAP, pero no la autorización LDAP, introduce $external en el campo database Identifier y el nombre que deseas para el rol en el campo name Identifier.

  • Si utilizas cualquier método de autenticación con autorización LDAP, escribe admin en el campo database Identifier y el nombre distinguido del grupo LDAP en el campo name Identifier.

    Ejemplo

    En tu servidor LDAP, creaste un grupo LDAP con un nombre distinguido de CN=DBA,CN=Users,DC=example,DC=com. Si deseas crear un rol de DBA en Cloud Manager vinculado a este grupo LDAP, escribe admin en el campo database Identifier y CN=DBA,CN=Users,DC=example,DC=com en el campo name Identifier.

5

Selecciona los privilegios que se otorgarán al nuevo rol.

6

Haga clic en Add Privileges.

7

Haga clic en Add Role.

8

Haz clic en Review & Deploy para revisar tus cambios.

9

Haz clic en Confirm & Deploy para implementar tus cambios.

En caso contrario, haz clic en Cancel y podrás realizar cambios adicionales.

Edita un rol personalizado

Puede cambiar los privilegios de un rol personalizado. No puedes cambiar ni su nombre ni su base de datos.

1

En MongoDB Cloud Manager, ir a la página Security del proyecto.

  1. Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Security en la sección Database.

Se muestra la página de Seguridad.

2

Haz clic en la pestaña MongoDB Roles.

3

Haz click en Edit junto al rol que quieres modificar.

4

Selecciona los privilegios que se otorgarán al nuevo rol.

5

Haga clic en Save Changes.

6

Haz clic en Review & Deploy para revisar tus cambios.

7

Haz clic en Confirm & Deploy para implementar tus cambios.

En caso contrario, haz clic en Cancel y podrás realizar cambios adicionales.

Ver privilegios para un rol

Para ver los privilegios de un rol:

1

En MongoDB Cloud Manager, ir a la página Security del proyecto.

  1. Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Security en la sección Database.

Se muestra la página de Seguridad.

2

Ver los privilegios.

  1. Haga clic en Roles.

  2. Haz clic en view privileges junto al rol.

Cada privilegio empareja un recurso con un conjunto de Acciones de privilegio. Todos los roles tienen asignada una base de datos. Cada función integrada se asigna a admin base de datos o a todas las bases de datos.

Remover un rol personalizado

1

En MongoDB Cloud Manager, ir a la página Security del proyecto.

  1. Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Security en la sección Database.

Se muestra la página de Seguridad.

2

Haz clic en la pestaña MongoDB Roles.

3

Establezca el valor de Synced en No junto al rol que desea borrar.

4

Haz clic en Unsync para verificar.

5

Haz clic en Review & Deploy para revisar tus cambios.

6

Haz clic en Confirm & Deploy para implementar tus cambios.

En caso contrario, haz clic en Cancel y podrás realizar cambios adicionales.

Volver

Gestionar usuarios de MongoDB

Next

Borrar Configuración de Seguridad

En esta página