重要
Atlas 仅允许客户端从列入项目 IP 访问列表中的 IP 地址连接到集群。每个条目要么是单个 IP 地址,要么是 CIDR 标记的地址范围。对于具有一个或多个与同一 AWS 区域进行的 VPC 对等互连的 AWS 集群,您可以指定与对等 VPC 关联的安全群组。
注意
MongoDB Atlas责任共担模型定义了MongoDB及其客户在维护安全和弹性数据环境方面的互补职责。在此框架下, MongoDB管理根本的平台的安全性和操作完整性,而客户则负责其特定部署的配置、管理和数据策略。有关安全性和卓越运营方面的所有权的详细分类,请参阅 责任共担模型。
对于部署在 Google Cloud Platform (GCP) 或 Microsoft Azure 上的 Atlas 集群,请将 Google Cloud 或 Azure 服务的 IP 地址添加到 Atlas 项目的 IP 访问列表,授予这些服务对集群的访问权限。
IP 访问列表适用于项目中的所有集群,最多可以有200 个 IP 访问列表条目,但以下情况除外:具有 2017 年 8 月 25 日之前创建的现有分片集群的项目最多可以有 100 个 IP 访问列表条目。
Atlas 支持创建临时 IP 访问列表条目, 这些条目会在用户可配置的 7 天内过期。
注意
要限制特定IP地址访问权限MongoDB Atlas用户界面,您可以定义用户界面IP访问列表,将对Atlas组织管理界面的访问权限限制为仅您明确指定的IP地址或 CIDR 范围。虽然您无法定义IP访问列表来阻止Atlas用户界面访问权限,但用户界面IP访问列表提供此功能。除了用户界面IP访问列表之外,您还可以使用Atlas联合身份验证,通过身份提供程序身份验证策略阻止对Atlas用户界面的访问。
当您创建、删除或更改临时和非临时IP访问列表条目时, Atlas会在项目的 Activity Feed 中通知您这些事件。 示例,如果您修改IP访问列表条目的解决,则操作日志会报告旧条目的删除和新条目的创建。
查看操作日志
要查看项目的操作日志:
在Atlas中,转到 Project Settings 页面。
如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含所需项目的组织。
如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。
在侧边栏中,单击 图标 Project Overview 旁边的图标。
显示项目设置页面。
在Atlas中,转到 Project Activity Feed 页面。
如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含所需项目的组织。
如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。
在侧边栏中,单击 Security 标题下的 Activity Feed。
显示项目操作日志页面。
注意
操作日志考虑因素
Atlas 不报告对操作日志中 IP 访问列表条目注释的更新。
修改 IP 访问列表项的地址时,“活动源”会报告两个新活动:一个用于删除旧条目,另一个用于创建新条目。
必需的访问权限
要托管 IP访问列表 条目,您必须对项目具有Project Owner或Project Network Access Manager访问权限。
拥有 Organization Owner 访问权限的用户必须将自己作为 Project Owner 添加到项目中。
查看 IP 访问列表项
如需使用 Atlas CLI 列出项目的 IP 访问列表入口,请运行以下命令:
atlas accessLists list [options]
要使用 Atlas CLI 返回指定 IP 访问列表条目的详细信息,请运行以下命令:
atlas accessLists describe <entry> [options]
要进一步了解前面命令的事务语法和参数,请参阅 Atlas CLI 文档中的 atlas accessLists list 和 atlas accessLists describe。
单击 IP Access List标签页。
IP 地址 | IP 地址或 CIDR 块。如果此集群托管在 AWS 上,您还可以提供 AWS 安全组 ID。 | ||||||||||||
Comment | 有关访问列表条目的描述或其他信息。 | ||||||||||||
状态 | IP 访问列表条目的状态:
| ||||||||||||
操作 |
添加 IP 访问列表项
要使用 Atlas CLI 为项目创建 IP 访问列表,请运行以下命令:
atlas accessLists create [entry] [options]
要了解有关命令语法和参数的更多信息,请参阅 Atlas CLI 文档中的 atlas accessLists create。
您可以使用 Atlas Administration API 添加现有的 IP 访问列表条目。
输入 IP 解决、CIDR 区块或安全群组 ID。
重要
确保添加将用于以 admin 用户身份访问 MongoDB 的 IP 地址。
警告
添加 CIDR 0.0.0.0/0 允许从任何地方访问权限。这种配置可能会使您的部署面临未经授权的访问权限、数据泄露和其他恶意活动。限制对可信IP地址或CIDR范围的访问权限,并在允许从公共互联网访问权限时为所有数据库用户使用强凭证。
输入所需的 IP 地址或 CIDR 表示的地址范围:
条目 | 授予权限 |
|---|---|
IP 地址 | 从该地址访问。 |
CIDR 表示的 IP 地址范围 | 从指定的地址范围访问。 对于对等 VPC 连接,您可以指定 CIDR 区块(或子集)或关联的安全组。 互联网提供了用于将IP地址范围转换为 CIDR 的在线工具,例如 http://www.ipaddressguide.com/cidr。 |
安全组 ID(仅限 AWS) | 通过对等 VPC 的安全组成员身份进行访问。 重要提供: Atlas 不支持在多个区域的 VPC 对等连接项目中将 AWS 安全组添加到 IP 访问列表。 |
如果您将 0.0.0.0/0 CIDR 添加到项目访问列表,Atlas 会向所有直接被授予项目角色或通过团队成员间接被授予项目角色(如果团队被授予项目角色)的所有用户发送警报电子邮件。
警告
添加 CIDR 0.0.0.0/0 允许从任何地方访问权限。这种配置可能会使您的部署面临未经授权的访问权限、数据泄露和其他恶意活动。限制对可信IP地址或CIDR范围的访问权限,并在允许从公共互联网访问权限时为所有数据库用户使用强凭证。
修改 IP 访问列表项
您不能使用 Atlas CLI 修改 IP 访问列表条目。 选择不同的接口,了解如何修改 IP 访问列表条目。
您可以使用 Atlas Administration API 修改现有的 IP 访问列表条目。
删除 IP 访问列表项
重要
当您从 IP 访问列表中删除条目时, 被删除地址的现有连接可能会在不同时间内保持打开状态。 Atlas 关闭连接所需的时间取决于多个因素,包括:
如何建立此连接
应用程序或驱动程序如何使用此地址
连接使用哪种协议(如 TCP 或 UDP)
要使用 Atlas CLI 从项目中删除 IP 访问列表, 请运行以下命令:
atlas accessLists delete <entry> [options]
要了解命令语法和参数详情,请参阅 Atlas CLI 文档中的 atlas accessLists delete。
您可以使用 Atlas Administration API 删除现有用户。