本文介紹ApsaraDB for MongoDB資料安全相關問題。
白名單分組名稱及來源說明
請參見修改白名單的操作步驟來開啟白名單設定頁面,查看執行個體的白名單分組。
初始情況下,MongoDB執行個體的白名單分組僅包含default,隨著對執行個體執行配置資料移轉或其他動作,白名單分組會逐漸增多,白名單分組名稱及來源如下。
白名單分組名稱 | 來源說明 |
default | 系統預設白名單分組,不可刪除。 |
ddsdts | 當您對該執行個體執行了資料移轉任務,那麼系統將自動產生該分組,並將DTS的伺服器IP地址添加至該分組中。 說明 如果當前執行個體正在執行資料移轉任務,請勿刪除該分組,否則將導致資料移轉失敗。 |
ApsaraDB for MongoDB是否支援KMS加密?
您可以通過控制台啟用透明資料加密TDE(Transparent Data Encryption)對資料檔案執行即時I/O加密和解密,讓資料在寫入磁碟之前進行加密,從磁碟讀入記憶體時進行解密。
無法在ApsaraDB for MongoDB中進行MONGODB-CR認證
問題描述
在使用MongoDB時,只能採用SCRAM-SHA-1認證,不能採用MONGODB-CR認證 。 修改配置schema.currentVersion=3時,出現以下報錯。
WriteResult({
"writeError" : {
"code" : 13,
"errmsg" : "not authorized on admin to execute command {
update: \"system.version\", updates: [ { q: { _id: \"authSchema\" },
u: { _id: \"authSchema\", currentVersion: 3 },
multi: false, upsert: true } ], ordered: true }"
}
})問題原因
MONGODB-CR認證方式存在安全問題,ApsaraDB for MongoDB不支援該認證方式,只支援預設的SCRAM-SHA-1認證。
解決方案
該問題無解決方案,屬於產品設計所限。
更多資訊
SCRAM-SHA-1是當前推薦使用的認證方式,以下是SCRAM-SHA-1認證時的流程:
用戶端發起一個SCRAM認證請求。
服務端發出一個挑戰響應。
用戶端響應一個證明資料和合并字串。
服務端將儲存的密鑰結合隨機參數,使用同樣的演算法產生簽名並校正用戶端證明資料。
用戶端校正服務端簽名資料。
SCRAM-SHA-1認證相比MONGODB-CR認證的優勢有下列幾個方面:
可靈活調整的安全係數。
每個使用者有獨立的隨機係數。
更安全的HASH函數。
支援雙向認證。