Crea usuarios de bases de datos para proporcionar a los clientes acceso a los clústeres de tu proyecto.
Nota
El Modelo de Responsabilidad Compartida de MongoDB Atlas define los deberes complementarios de MongoDB y sus clientes en el mantenimiento de un entorno de datos seguro y resiliente. Bajo este marco, MongoDB gestiona la seguridad y la integridad operativa de la plataforma subyacente, mientras que los clientes son responsables de la configuración, gestión y políticas de datos de sus implementaciones específicas. Para obtener un desglose detallado de la propiedad en materia de seguridad y excelencia operativa, consulta el Modelo de Responsabilidad Compartida.
El acceso de un usuario de base de datos está determinado por los roles asignados al usuario. Cuando creas un usuario de base de datos, cualquiera de los roles integrados agrega al usuario a todos los clusters en tu proyecto de Atlas. Para especificar a qué recursos puede acceder un usuario de base de datos en su proyecto, puede seleccionar la opción Restrict Access to Specific Clusters en la Interfaz de Usuario de Atlas o establecer privilegios específicos y roles personalizados.
Los usuarios de base de datos son distintos de los usuarios de Atlas. Los usuarios de bases de datos tienen acceso a las bases de datos de MongoDB, mientras que los usuarios de Atlas tienen acceso a la aplicación Atlas en sí. Atlas permite la creación de usuarios de base de datos temporales que caducan automáticamente en un período de 7 días que el usuario puede configurar.
Atlas audita la creación, eliminación y actualizaciones tanto de usuarios temporales como no temporales de la base de datos en el proyecto fuente de actividad.
Nota
Implementaciones autogestionadas
La información de esta página se aplica únicamente a las implementaciones alojadas en Atlas. Para aprender cómo crear usuarios de bases de datos en implementaciones autogestionadas, consulta Crear un usuario en implementaciones autogestionadas.
Limitaciones
Las siguientes limitaciones se aplican únicamente a las implementaciones alojadas en MongoDB Atlas. Si alguno de estos límites representa un problema para la organización, se debe contactar a soporte de Atlas.
Debe usar el Atlas CLI, la API de administración de Atlas, la IU de Atlas o una integración compatible para gestionar los usuarios de bases de datos de los clústeres de Atlas. De lo contrario, Atlas revierte cualquier modificación realizada por el usuario.
Los roles integrados de Atlas disponibles y privilegios específicos admiten un subconjunto de los comandos de MongoDB. Para más información, consulte Comandos no admitidos en clústeres M10+ para obtener más información.
Puedes crear un máximo de 100 usuarios de base de datos por proyecto de Atlas.
Métodos de autenticación de usuarios de bases de datos
Atlas ofrece las siguientes formas de autenticación para los usuarios de bases de datos:
Contraseña: SCRAM es el método de autenticación por defecto de MongoDB. SCRAM requiere una contraseña para cada usuario.
La base de datos de autenticación para los usuarios autenticados mediante SCRAM es la base de datos
admin.Nota
Por defecto, Atlas admite la autenticación SCRAM-SHA-256. Si se creó un usuario antes de MongoDB 4.0, debe actualizar MongoDB 4.0 y actualizar sus contraseñas para generar credenciales SCRAM-SHA-256. Puedes reutilizar contraseñas existentes.
Cuándo usar SCRAM:
Puedes usar la autenticación SCRAM para usuarios humanos y usuarios de aplicaciones. Para los entornos de nivel inferiores, SCRAM es un método de autenticación adecuado. Para los entornos de producción y superiores, sigue las mejores prácticas de seguridad para mantener los secretos seguros y a corto plazo, como la integración con soluciones de Gestión de Acceso Privilegiado (PAM).
X.509 Certificados: Los certificados X.509, también conocidos como “TLS mutuo” o “mTLS”, permiten la autenticación sin contraseña mediante el uso de un certificado confiable.
La base de datos de autenticación para los usuarios autenticados por X.509es la base de datos
$external.Si activas la autorizacion LDAP, no podrás conectarte a tus clústeres con usuarios que se autentiquen con un certificado X.509 gestionado por Atlas. Para activar LDAP y conectarte a tus clústeres con usuarios de X.509, consulta Configurar certificados autogestionados de X.509.
Cuándo usar X.509:
La autenticación X.509 es adecuada para el acceso seguro a la carga de trabajo cuando la federación de identidades de la carga de trabajo (OIDC) o la autenticación de AWS IAM no son factibles, o cuando se requiere autenticación mutua.
OIDC: La autenticación de OpenID Connect (OIDC) permite una autenticación sin contraseña ni secretos mediante el uso de proveedores de identidad externos. Atlas admite los siguientes tipos de autenticación OIDC:
Federación de Identidad de la Fuerza Laboral para principales humanos como empleados, socios y contratistas.
Federación de identidades de cargas de trabajo para aplicaciones que usan identidades programáticas externas como Principios de Servicio de Azure, Identidades Gestionadas de Azure y Cuentas de Servicio de Google.
La base de datos de autenticación para usuarios autenticados por OIDC es la base de datos
$external.La autenticación OIDC está disponible solo en clústeres que utilizan MongoDB versión 7.0 y superiores.
Cuándo usar OIDC:
Para los/as usuarios/as humanos/as, recomendamos el uso de la Federación de Identidad de Workforce con OIDC.
Para los usuarios de aplicaciones, recomendamos utilizar Workload Identity Federation con OIDC para aplicaciones que se ejecutan en GCP o Azure.
AWS IAM: Puedes crear un usuario de base de datos que use un AWS IAM Usuario o Rol ARN para autenticación.
La base de datos de autenticación para los usuarios autenticados con AWS IAM es la base de datos
$external.Cuándo usar AWS IAM:
Recomendamos que use la autenticación de AWS IAM con roles de IAM para los usuarios de aplicaciones que funcionan en AWS.
Acceso requerido
Para añadir usuarios de base de datos, debes tener acceso a Atlas mediante Organization Owner, Organization Stream Processing Admin, Project Owner, Project Stream Processing Owner o Project Database Access Admin.