AWS IAM으로 패스워드리스 인증 설정

이 페이지의 내용

AWS IAM을 사용하여 연결

AWS IAM 역할로 비밀번호 없는 인증 설정하기
AWS Lambda
AWS ECS
AWS ECS Fargate
AWS EKS
SAML을 사용하여 비밀번호 없는 인증 설정하기

다음과 같은 방법으로 AWS IAM 사용자에 대한 암호 없는 인증을 설정할 수 있습니다.

사용자 이름 또는 비밀번호 필드를 선택 사항으로 만들도록 AWS IAM 역할을 구성합니다. 이 시나리오에서는 각 사용자가 인증을 위해 시크릿 키를 제시합니다. 사용자는 유선을 통해 Atlas에 시크릿 키를 보내지 않으며 드라이버는 이를 유지하지 않습니다. 자세한 내용은 AWS IAM 역할로 비밀번호 없는 인증 설정하기를 참조하세요.
AssumeRoleWithSAML API 작업 으로 얻은 임시 자격 증명 사용 . 이 시나리오에서는 SSO 제공자와 통합해야 하며, 해당 신뢰 정책에 SAML IdP 제공자를 지정하는 IAM 역할이 있어야 합니다. 자세히 알아보려면 SAML을 사용하여 비밀번호 없는 인증 설정을 참조하세요.

AWS IAM을 사용하여 연결

를 사용하여 AWS mongosh IAM 자격증명으로 Atlas에 연결하려면 MONGODB-AWS 인증 메커니즘을 지정하는 연결 문자열을 제공합니다. 이 연결 문자열 형식은 모든 AWS IAM 비밀번호 없는 인증 메커니즘에 적용됩니다.

중요

이 연결 문자열 형식을 사용하려면 먼저 아래에 설명된 방법 중 하나를 사용하여 비밀번호 없는 인증을 구성해야 합니다.

AWS IAM 역할로 비밀번호 없는 인증 설정하기

참고

LDAP 권한 부여가 활성화된 경우 AWS IAM 사용자에 대해 암호 없는 인증을 사용할 수 없습니다.

AWS IAM 사용자에 대해 비밀번호 없는 인증을 사용해야 하는 경우 비밀번호 없는 인증으로 액세스하려는 클러스터를 LDAP 권한 부여가 활성화되지 않은 다른 프로젝트로 이동하는 것을 고려합니다.

데이터베이스 사용자가 인증에 AWS IAM 사용자 ARN을 사용하도록 설정할 수 있습니다. mongosh 및 드라이버를 사용하여 데이터베이스에 연결하고 AWS IAM 사용자 ARN을 사용하여 인증할 수 있습니다. AWS IAM 역할을 사용하면 관리해야 할 인증 메커니즘의 수와 시크릿의 수가 줄어듭니다. 인증에 사용자 이름이나 비밀번호가 필요하지 않도록 AWS IAM 을 구성하여 비밀번호 없는 메커니즘으로 만들 수 있습니다. 인증에 대신 사용하는 비밀 키는 유선을 통해 Atlas로 전송되지 않으며 드라이버에 의해 유지되지 않으므로 AWS IAM 은 가장 민감한 상황에도 적합합니다.

AWS Lambda 및 HTTP(ECS 및 EC2)의 경우 드라이버가 환경 변수 에서 자동으로 읽습니다. .AWS EKS의 경우 IAM 역할을 수동으로 할당해야 합니다. 이 페이지에서는 AWS Lambda, AWS ECS 및 AWS EKS 가 AWS IAM 역할을 사용하여 연결하는 방법을 설명합니다.

참고

AWS 콘솔에서 Lambda, EC2, ECS 또는 EKS에 IAM 역할을 할당해야 합니다.

AWS Lambda

실행 역할을 할당하는경우 AWSLambda는 다음 환경 변수를 통해 함수에 정보를 전달합니다. Lambda 함수에 추가합니다.

AWS_ACCESS_KEY_ID
AWS_SECRET_ACCESS_KEY
AWS_SESSION_TOKEN

참고

실행 역할 을 사용할 때는 이러한 환경 변수를 수동으로 만들 필요가 없습니다. 함수에서.

이러한 환경 변수에 대해 자세히 알아보려면 AWS Lambda 환경 변수 사용하기를 참조하세요.

AWS ECS

AWS ECS는 다음 URI에서 자격 증명을 가져옵니다.

http://169.254.170.2 + AWS_CONTAINER_CREDENTIALS_RELATIVE_URI

AWS_CONTAINER_CREDENTIALS_RELATIVE_URI 환경 변수입니다. 자세한 내용 은 작업에 대한 IAM 역할을 참조하세요.

AWS EC2는 다음 URL에서 인스턴스 메타데이터 서비스 V2의 자격 증명을 가져옵니다.

http://169.254.169.254/latest/meta-data/iam/security-credentials/

자세한 내용 은 IAM 역할로 인스턴스 시작을 참조하세요.

AWS ECS Fargate

AWS ECS Fargate에서 비밀번호 없는 인증을 위해 AWS IAM 역할을 구성하는 방법을 알아보려면 AWS 설명서를 참조하세요.

AWS EKS

AWS EKS의 경우, 먼저 pod에 IAM 역할을 할당하여 해당 pod에서 다음 환경 변수를 설정합니다.

AWS_WEB_IDENTITY_TOKEN_FILE - 웹 ID 토큰 파일의 경로가 포함됩니다.
AWS_ROLE_ARN - 클러스터에 연결하는 데 사용할 IAM 역할이 포함되어 있습니다.

포드에 IAM 역할을 할당하는 방법에 대한 자세한 내용은 AWS 설명서를 참조하세요.

포드에 IAM 역할을 할당한 후에는 클러스터에 연결하기 위해 수동으로 IAM 역할을 맡아야 합니다.

수동으로 역할을 맡으려면 다음을 수행하세요.

AWS SDK 사용 AssumeRoleWithWebIdentity를 호출합니다.
팁
- ProviderID 매개 변수를 생략합니다.
- Pod의 AWS_WEB_IDENTITY_TOKEN_FILE 환경 변수에 설명된 파일에서 WebIdentityToken 매개변수의 값을 찾습니다.
이전 단계에서 받은 자격 증명을 MongoDB 드라이버에 전달합니다. 자세한 내용은 드라이버 설명서 를 참조하세요.

팁

다음도 참조하세요.

서비스 계정을 위한 IAM 역할

SAML을 사용하여 비밀번호 없는 인증 설정하기

AWS IAM 사용자를 SAML 인증에 의존하는 IdP와 통합하는 경우, 기업의 SSO 제공자를 사용하여 다음을 수행할 수 있습니다.

Atlas에 액세스합니다.
MongoDB 데이터베이스 사용자가 Atlas에 연결할 수 있도록 비밀번호 없는 인증을 설정합니다. mongosh 및 MongoDB 드라이버는 이 데이터베이스 사용자를 사용하여 Atlas에 연결할 수 있습니다.

이 MongoDB 데이터베이스 사용자의 경우 AssumeRoleWithSAML API 작업을 통해 얻은 임시 보안 자격 증명을 사용할 수 있습니다.

이 시나리오에서는 다음 사항이 이미 갖춰져 있어야 합니다.

SAML SSO 제공자가 구성되어 있습니다.
신뢰 정책에서 SAML IdP 공급자를 지정하는 기존 IdP 역할입니다.

다음 단계에서는 MongoDB database 사용자에 대해 패스워드리스 인증을 설정하는 방법을 보여 줍니다. 자세히 알아보려면 워크플로의 각 단계에 대한 링크를 참조하세요.

기업에서 SAML이 포함된 SSO 제공자를 사용하고 AWS IAM과 통합하는 경우, MongoDB 데이터베이스 사용자에 대한 비밀번호 없는 인증을 설정하려면 다음과 같이 하세요.

IAM 사용자에게 권한을 위임할 역할을 만듭니다.
위임된 역할에 임시 보안 자격 증명 요청 .AWS Security Token Service는 AssumeRoleWithSAML API 작업을 호출할 때 임시 보안 자격 증명을 생성합니다.
임시 API 키, 액세스 키, 토큰을 사용하여 Atlas 클러스터로 인증하세요.

← 사용자 지정 데이터베이스 역할 구성

LDAP로 사용자 인증 및 권한 부여 설정하기 →