자체 관리형 X.509 인증 설정하기

이 페이지의 내용

고려 사항

필요한 액세스 권한
전제 조건
공개 키 인프라를 사용하도록 프로젝트 구성
자체 관리형 X.509 인증 설정 보기 또는 수정
자체 관리형 X.509 인증을 사용하여 데이터베이스 사용자 추가

자체 관리형 X.509 인증서는 데이터베이스 사용자에게 프로젝트의 클러스터에 대한 액세스 권한을 제공합니다. 데이터베이스 사용자는 Atlas 사용자와는 별개입니다. 데이터베이스 사용자는 MongoDB 데이터베이스에 액세스할 수 있는 반면, Atlas 사용자는 Atlas 애플리케이션 자체에 액세스할 수 있습니다.

고려 사항

LDAP 권한 부여를 활성화 하면 Atlas에서 관리하는 X.509 인증서로 인증하는 사용자로 클러스터에 연결할 수 없습니다.

LDAP 권한 부여를 활성화한 후에는 자체 관리형 X.509 인증서로 인증하는 사용자로 클러스터에 연결할 수 있습니다 . 그러나 X.509 인증서에 있는 사용자의 일반 이름은 LDAP로 데이터베이스에 액세스할 수 있는 권한이 있는 사용자의 고유 이름과 일치해야 합니다.

자체 관리형 인증서로 인증하는 사용자와 Atlas에서 관리하는 X.509 인증서로 인증하는 사용자를 모두 동일한 데이터베이스에 둘 수 있습니다.

필요한 액세스 권한

데이터베이스 사용자를 관리하려면 Atlas에 대한 Organization Owner 또는 Project Owner 액세스 권한이 있어야 합니다.

전제 조건

자체 관리형 X.509 인증서를 사용하려면 MongoDB Atlas와 통합할 공개 키 인프라가 있어야 합니다.

공개 키 인프라를 사용하도록 프로젝트 구성

자체 관리형 X.509 인증을 켭니다.

Atlas 왼쪽 탐색 패널의 Security 섹션에서 Advanced를 클릭합니다.
Self-Managed X.509 Authentication 를 ON로 전환합니다.

PEM 인코딩된 인증 기관을 제공합니다.

자체 관리형 X.509 인증 설정 보기 또는 수정

자체 관리형 X.509 인증을 사용하여 데이터베이스 사용자 추가

Add New Database User 대화 상자를 엽니다.

좌측 탐색 메뉴의 Security 섹션에서 Database Access를 클릭합니다. Database Users 탭이 표시됩니다.
딸깍 하는 소리 Add New Database User.

CERTIFICATE을 선택합니다.

사용자 정보를 입력합니다.

필드

설명

Distinguished Name

사용자의 CN(일반 이름) 및 선택적으로 추가 고유 이름 필드(RFC 4514)을(를) 다음 표에서 선택하세요.

이름	설명	유형	크기(MB)
`businesscategory`	`businessCategory` 조직에서 수행하는 업무의 종류를 설명하는 속성.	DirectoryString(영문)	사이즈(1..128)
`c`	두 글자 ISO 3166 국가 코드.	StringType	SIZE(2)
`cn`	객체의 일반적인 이름입니다. 객체가 사람에 해당하는 경우 일반적으로 사람의 이름 전체입니다.	StringType	사이즈 (1.. 64)
`countryofcitizenship`	RFC 3039 `CountryOfCitizenship` 하나 이상의 국적 식별자를 포함하는 속성입니다.ISO 3166 허용 코드 전용.	PrintableString	SIZE(2)
`countryofresidence`	RFC 3039 `CountryOfResidence` 하나 이상의 국가 값을 포함하는 속성입니다.ISO 3166 허용 코드 전용.	PrintableString	SIZE(2)
`dateofbirth`	RFC 3039 `DateOfBirth` 속성은 주체의 생년월일을 지정합니다.	시간을 표현하는 일반화된 형식: `YYYYMMDD000000Z`.
`dc`	`domainComponent` DNS 도메인 이름을 포함하는 속성 유형입니다.	StringType
`dn`	`dnQualifier` 항목의 상대적 고유 이름에 추가할 명확성 정보가 포함된 속성 유형입니다.	DirectoryString(영문)	사이즈 (1.. 64)
`e`	Verisign 인증서의 이메일 주소입니다.
`emailaddress`	`emailAddress` (RSA PKCS#9 확장자) 속성은 이메일 주소를 구조화되지 않은 ASCII 문자열로 지정합니다.	IA5String
`gender`	RFC 3039 `Gender` 주체의 성별 값을 지정하는 속성입니다.`M`, `F`, `m` 또는 을 허용합니다.`f`	PrintableString	SIZE(1)
`generation`	`generationQualifier` 일반적으로 사람 이름의 접미사 부분인 이름 문자열을 포함하는 속성 유형입니다.	DirectoryString(영문)	사이즈 (1.. 64)
`givenname`	성이 아닌 사람 이름의 일부인 이름 문자열입니다.	DirectoryString(영문)	사이즈 (1.. 64)
`initials`	성을 제외한 개인 이름의 일부 또는 전부의 이니셜입니다.	DirectoryString(영문)	사이즈 (1.. 64)
`l`	`localityName` 도시, 카운티 또는 기타 지리적 지역 등 지역이나 장소의 이름을 포함하는 속성입니다.	StringType	사이즈 (1.. 64)
`name`	(`id-at-name`) 이름 구문이 있는 사용자 속성 유형이 상속되는 속성 상위 유형입니다.	DirectoryString(영문)	사이즈 (1.. 64)
`nameofbirth`	ISIS-MTT `NameAtBirth` 사람의 출생 시 이름을 지정하는 속성입니다.	DirectoryString(영문)	사이즈 (1.. 64)
`o`	조직의 이름입니다.	StringType	사이즈 (1.. 64)
`ou`	조직 단위의 이름입니다.	StringType	사이즈 (1.. 64)
`placeofbirth`	RFC 3039 `PlaceOfBirth` 는 출생지의 값을 지정합니다.	DirectoryString(영문)	사이즈(1..128)
`postaladdress`	RFC 3039 `PostalAddress`,`stateOrProvinceName` `localityName` 주소 및 지리적 정보를 저장하기 위해 및 속성 유형(있는 경우)을 포함합니다.	시퀀스	DirectoryString(SIZE(1..30))의 크기(1..6)
`postalcode`	`postalCode` 우편 서비스 구역을 식별하기 위해 우편 서비스에서 사용하는 코드를 지정하는 속성입니다.	DirectoryString(영문)	사이즈(1..40)
`pseudonym`	RFC 3039 `pseudonym` 닉네임, 등록된 이름에 정의된 것과 다른 철자를 가진 이름 등 가명을 지정하는 속성입니다.	DirectoryString(영문)	사이즈 (1.. 64)
`serialnumber`	기기 일련 번호 이름입니다.	StringType	사이즈 (1.. 64)
`sn`	기기 일련 번호 이름입니다.	StringType	사이즈 (1.. 64)
`st`	주 또는 도 이름입니다.	StringType	사이즈 (1.. 64)
`street`	거리 이름입니다.	StringType	사이즈 (1.. 64)
`surname`	X520name 유형의 이름 지정 속성입니다.	DirectoryString(영문)	사이즈 (1.. 64)
`t`	`Title` 조직 내에서 주체의 지정된 위치나 기능을 포함하는 속성입니다.	DirectoryString(영문)	사이즈 (1.. 64)
`telephonenumber`	`id-at-telephoneNumber`국제 전화 번호에 대해 국제적으로 합의된 형식입니다.	PrintableString	크기 (1..32)
`uid`	LDAP 사용자 ID입니다.	DirectoryString(영문)
`uniqueidentifier`	객체의 고유 식별자입니다.	DirectoryString(영문)
`unstructuredaddress`	PKCS#9 주체의 주소를 구조화되지 않은 디렉토리 문자열로 지정하는 속성입니다.	DirectoryString(영문)
`unstructuredname`	PKCS#9 주체의 이름을 구조화되지 않은 ASCII 문자열로 지정하는 속성입니다..	DirectoryString(영문)	사이즈 (1.. 64)

고유 이름 필드에 대한 자세한 내용은 RFC 4514 를 참조하세요. .

예제

CN=Jane Doe,O=MongoDB,C=미국

User Privileges

다음 중 한 가지 방법으로 역할을 할당할 수 있습니다:

Atlas admin을 선택하면 사용자에게 readWriteAnyDatabase 및 여러 가지 관리 권한이 제공됩니다.
Read and write to any database를 선택하면 사용자에게 모든 데이터베이스에 읽고 쓸 수 있는 권한이 제공됩니다.
Only read any database를 선택하면 사용자에게 모든 데이터베이스를 읽을 수 있는 권한이 제공됩니다.
이전에 Atlas에서 만든 사용자 지정 역할을 선택하려면 Select Custom Role 을(를) 선택합니다. 기본 제공 데이터베이스 사용자 역할 이 원하는 권한 집합을 설명할 수 없는 경우 데이터베이스 사용자를 위한 사용자 지정 역할을 만들 수 있습니다. 사용자 지정 역할에 대한 자세한 내용은 사용자 지정 데이터베이스 역할 구성을 참조하세요.

Add Default Privileges를 클릭합니다. 이 옵션을 클릭하면 개별 역할을 선택하고 역할이 적용되는 데이터베이스를 지정할 수 있습니다. 선택 사항으로 read 및 readWrite 역할의 경우 컬렉션을 지정할 수도 있습니다. read 및 readWrite에 대한 컬렉션을 지정하지 않으면 역할은 데이터베이스 내 system 이외의 모든 컬렉션에 적용됩니다.

참고

다음 표에서는 Atlas 특정 권한, 해당 권한이 적용되는 데이터베이스, 해당 권한이 나타내는 권한 조치 에 대해 설명합니다.

Atlas 특정 권한	데이터베이스	권한 작업
`backup`	`admin`	`listDatabases` `listCollections` `listIndexes` `appendOplogNote` `getParameter` `serverStatus`
`clusterMonitor`	`admin`	`connPoolStats` `getCmdLineOpts` `getDefaultRWConcern` `getLog` `getParameter` `getShardMap` `hostInfo` `inprog` `listDatabases` `listSessions` `listShards` `netstat` `replSetGetConfig` `replSetGetStatus` `serverStatus` `shardingState` `top`
`dbAdmin`	사용자 구성	`bypassDocumentValidation` `changeStream` `collMod` `collStats` `compact` `convertToCapped` `createCollection` `createIndex` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `dropDatabase` `dropIndex` `dropSearchIndex` `enableProfiler` `find` `killCursors` `listCollections` `listIndexes` `listSearchIndexes` `planCacheIndexFilter` `planCacheRead` `planCacheWrite` `reIndex` `renameCollectionSameDB` `storageDetails` `updateSearchIndex` `validate`
`dbAdminAnyDatabase`	`local` 및 `config`를 제외한 사용자가 구성되었습니다.	`dbAdminAnyDatabase`
`enableSharding`		`enableSharding`
`read`	사용자 구성	`changeStream` `collStats` `dbHash` `dbStats` `find` `killCursors` `listIndexes` `listCollections` `listSearchIndexes`
`readWrite`	사용자 구성	`changeStream` `collStats` `convertToCapped` `createCollection` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `createIndex` `dropIndex` `dropSearchIndex` `find` `insert` `killCursors` `listIndexes` `listCollections` `listSearchIndexes` `remove` `renameCollectionSameDB` `update`
`killOpSession`	사용자 구성	`inprog` `killop` `killAnySession` `listSessions`
`readWriteAnyDatabase`	`local` 및 `config`를 제외한 사용자가 구성되었습니다.	`readWriteAnyDatabase` `changeStream` `collStats` `convertToCapped` `createCollection` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `dropSearchIndex` `createIndex` `dropIndex` `find` `insert` `killCursors` `listIndexes` `listCollections` `listDatabases` `listSearchIndexes` `remove` `renameCollectionSameDB` `update`
`readAnyDatabase`	`local` 및 `config`를 제외한 사용자가 구성되었습니다.	`readAnyDatabase` `changeStream` `collStats` `dbHash` `dbStats` `find` `killCursors` `listIndexes` `listCollections` `listDatabases` `listSearchIndexes`

기본 제공 Atlas 권한에 대한 자세한 내용은 기본 제공 역할을 참조하세요.

권한 부여에 대한 자세한 내용은 MongoDB 매뉴얼의 역할 기반 액세스 제어 및 기본 제공 역할을 참조하세요.

Add User 를 클릭합니다.

← OIDC/OAuth2 를 사용하여 Workload Identity Federation(애플리케이션)을 설정합니다.0

고객 키 관리를 사용한 미사용 암호화 →