Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Amazon DocumentDB DocumentDB-Benutzer verwalten
In Amazon DocumentDB authentifizieren sich Benutzer bei einem Cluster in Verbindung mit einem Passwort. Jeder Cluster verfügt über primäre Anmeldeinformationen, die bei der Clustererstellung festgelegt werden.
Anmerkung
Allen neuen Benutzern, die vor dem 26. März 2020 erstellt wurden, wurden die dbAdminAnyDatabase-, readWriteAnyDatabase- und clusterAdmin-Rollen erteilt. Es wird empfohlen, alle Benutzer neu zu bewerten und die Rollen nach Bedarf zu ändern, um die geringstmöglichen Berechtigungen für alle Benutzer in Ihren Clustern zu erzwingen.
Weitere Informationen finden Sie unter Datenbankzugriff mithilfe der rollenbasierten Zugriffskontrolle.
Primär und Benutzer serviceadmin
Ein neu erstellter Amazon DocumentDB-Cluster hat zwei Benutzer: den Hauptbenutzer und den serviceadmin Benutzer.
Der Hauptbenutzer ist ein einzelner, privilegierter Benutzer, der administrative Aufgaben ausführen und zusätzliche Benutzer mit Rollen erstellen kann. Wenn Sie sich zum ersten Mal mit einem Amazon DocumentDB-Cluster verbinden, müssen Sie sich mit den primären Anmeldeinformationen authentifizieren. Der Hauptbenutzer erhält diese Administratorberechtigungen für einen Amazon DocumentDB-Cluster, wenn dieser Cluster erstellt wird, und ihm wird die Rolle von root zugewiesen.
Der serviceadmin-Benutzer wird implizit beim Erstellen des Clusters erstellt. Jeder Amazon DocumentDB-Cluster hat einen serviceadmin Benutzer, AWS der die Möglichkeit bietet, Ihren Cluster zu verwalten. Sie können sich mit serviceadmin nicht anmelden, den Benutzer löschen oder umbenennen, sein Passwort ändern oder die Berechtigungen ändern. Jeder Versuch, das zu tun, führt zu einem Fehler.
Anmerkung
Die primären serviceadmin Benutzer und Benutzer für einen Amazon DocumentDB-Cluster können nicht gelöscht werden, und die Rolle des root Hauptbenutzers kann nicht entzogen werden.
Wenn Sie Ihr primäres Benutzerkennwort vergessen haben, können Sie es mit dem AWS Management Console oder dem zurücksetzen. AWS CLI
Zusätzliche Benutzer erstellen
Nachdem Sie sich als Hauptbenutzer (oder als beliebiger Benutzer mit dieser RollecreateUser) verbunden haben, können Sie einen neuen Benutzer erstellen, wie unten gezeigt.
db.createUser( { user: "sample-user-1", pwd: "password123", roles: [{"db":"admin", "role":"dbAdminAnyDatabase" }] } )
Um Benutzerdetails anzuzeigen, können Sie den Befehl show users wie folgt verwenden. Sie können Benutzer zusätzlich mit dem Befehl dropUser entfernen. Weitere Informationen finden Sie unter Allgemeine Befehle.
show users
{
"_id" : "serviceadmin",
"user" : "serviceadmin",
"db" : "admin",
"roles" : [
{
"role" : "root",
"db" : "admin"
}
]
},
{
"_id" : "myPrimaryUser",
"user" : "myPrimaryUser",
"db" : "admin",
"roles" : [
{
"role" : "root",
"db" : "admin"
}
]
},
{
"_id" : "sample-user-1",
"user" : "sample-user-1",
"db" : "admin",
"roles" : [
{
"role" : "dbAdminAnyDatabase",
"db" : "admin"
}
]
}
Im obigen Beispiel wird der neue Benutzer sample-user-1 der admin-Datenbank zugewiesen. Dies ist bei einem neuen Benutzer immer der Fall. Amazon DocumentDB hat nicht das Konzept einer authenticationDatabase und daher wird die gesamte Authentifizierung im Kontext der admin Datenbank durchgeführt.
Wenn Sie beim Erstellen von Benutzern das db Feld bei der Angabe der Rolle weglassen, ordnet Amazon DocumentDB die Rolle implizit der Datenbank zu, für die die Verbindung hergestellt wird. Wenn Ihre Verbindung beispielsweise für die Datenbank sample-database hergestellt wird und Sie den folgenden Befehl ausführen, wird der Benutzer sample-user-2 in der Datenbank admin erstellt und verfügt über readWrite-Berechtigungen für die Datenbank sample-database.
db.createUser( { user: "sample-user-2", pwd: "password123", roles: ["readWrite"] } )
Wenn Sie Benutzer mit Rollen erstellen, die über alle Datenbanken hinweg erfasst sind (z. B. readInAnyDatabase), müssen Sie sich beim Erstellen des Benutzers entweder im Kontext der admin-Datenbank befinden oder beim Erstellen des Benutzers explizit die Datenbank für die Rolle angeben.
Um den Kontext Ihrer Datenbank zu wechseln, können Sie den folgenden Befehl verwenden.
use admin
Weitere Informationen zur rollenbasierten Zugriffssteuerung und zum Erzwingen geringstmöglicher Berechtigungen unter den Benutzern im Cluster finden Sie unter Datenbankzugriff mithilfe der rollenbasierten Zugriffskontrolle.
Automatisch rotierende Passwörter für Amazon DocumentDB
Mit AWS Secrets Manager können Sie hartcodierte Anmeldeinformationen in Ihrem Code (einschließlich Kennwörtern) durch einen API Aufruf von Secrets Manager ersetzen, um das Geheimnis programmgesteuert abzurufen. Dadurch wird sichergestellt, dass das Secret nicht kompromittiert werden kann, wenn jemand Ihren Code durchsucht, da es sich gar nicht dort befindet. Außerdem können Sie Secrets Manager so konfigurieren, dass er das Secret automatisch nach einem von Ihnen festgelegten Zeitplan rotiert. So können Sie Secrets mit langer Einsatzdauer durch Secrets mit kurzer Einsatzdauer ersetzen und damit das Risiko einer Kompromittierung erheblich verringern.
Mit Secrets Manager können Sie Ihre Amazon DocumentDB-Passwörter (d. h. Secrets) mithilfe einer von Secrets Manager AWS Lambda bereitgestellten Funktion automatisch rotieren.
Weitere Informationen AWS Secrets Manager zur systemeigenen Integration mit Amazon DocumentDB finden Sie im Folgenden:
