本文介绍云数据库 MongoDB 版数据安全相关问题。
白名单分组名称及来源说明
请参见修改白名单的操作步骤来打开白名单设置页面,查看实例的白名单分组。
初始情况下,MongoDB实例的白名单分组仅包含default,随着对实例执行配置数据迁移或其他操作,白名单分组会逐渐增多,白名单分组名称及来源如下。
白名单分组名称 | 来源说明 |
default | 系统默认白名单分组,不可删除。 |
ddsdts | 当您对该实例执行了数据迁移任务,那么系统将自动生成该分组,并将DTS的服务器IP地址添加至该分组中。 说明 如果当前实例正在执行数据迁移任务,请勿删除该分组,否则将导致数据迁移失败。 |
云数据库MongoDB版是否支持KMS加密?
您可以通过控制台启用透明数据加密TDE(Transparent Data Encryption)对数据文件执行实时I/O加密和解密,让数据在写入磁盘之前进行加密,从磁盘读入内存时进行解密。
无法在云数据库MongoDB中进行MONGODB-CR认证
问题描述
在使用MongoDB时,只能采用SCRAM-SHA-1认证,不能采用MONGODB-CR认证 。 修改配置schema.currentVersion=3时,出现以下报错。
WriteResult({
"writeError" : {
"code" : 13,
"errmsg" : "not authorized on admin to execute command {
update: \"system.version\", updates: [ { q: { _id: \"authSchema\" },
u: { _id: \"authSchema\", currentVersion: 3 },
multi: false, upsert: true } ], ordered: true }"
}
})问题原因
MONGODB-CR认证方式存在安全问题,云数据库MongoDB版不支持该认证方式,只支持默认的SCRAM-SHA-1认证。
解决方案
该问题无解决方案,属于产品设计所限。
更多信息
SCRAM-SHA-1是当前推荐使用的认证方式,以下是SCRAM-SHA-1认证时的流程:
客户端发起一个SCRAM认证请求。
服务端发出一个挑战响应。
客户端响应一个证明数据和合并字符串。
服务端将存储的密钥结合随机参数,使用同样的算法生成签名并校验客户端证明数据。
客户端校验服务端签名数据。
SCRAM-SHA-1认证相比MONGODB-CR认证的优势有下列几个方面:
可灵活调整的安全系数。
每个用户有独立的随机系数。
更安全的HASH函数。
支持双向认证。