Atlas Administration APIへの認証には、次の 2 つの方法のいずれかを使用できます。
サービスアカウント(推奨) | APIキー(レガシー) |
|---|---|
業界標準の OAuth 2.0 プロトコルを使用し、クライアント認証情報フロー を使用して Atlas に認証する新しい方法。 | HTTPダイジェスト認証を使用する Atlas へのレガシー認証方法。 |
サービス アカウントを使用すると、権限を管理し、アクセス トークンを作成できます。サービス アカウントには、アクセス トークンを作成するためのユーザー名とパスワードとして機能するクライアントIDとシークレットがあります。アクセス トークンを使用すると、は Atlas へのAPIリクエストを行うことができます。 | |
サービスアカウントを作成したら、そのクライアント ID とシークレットを使用してアクセス トークンを生成し、API リクエストを認証します。アクセス トークンは、OAuth 2.0 仕様に従って 1 時間(3600 秒)のみ有効です。アクセス トークンの有効期限が切れると、漏洩したアクセス トークンを時間制限なく使用できるようなリプレイ攻撃を防ぐことができます。 | Atlas は、ナンスと呼ばれる一意の値を使用して公開キーと秘密キーをハッシュします。ナンスは HTTP ダイジェスト認証仕様に従って、短期間のみ有効です。これはリプレイ攻撃を防ぐためのもので、ナンスをキャッシュして永久に使用することはできません。 |
Atlas のロールは、サービスアカウントがアクセス トークンを使用して実行できる操作を制限します。アクセス トークンがエラーなしで API エンドポイントを呼び出せるように、ユーザーの場合と同様にサービスアカウントにロールを付与する必要があります。 | Atlas ロールは、API キーが実行できる操作を制限します。API キーで、エラーなく API エンドポイントを呼び出せるようにするには、ユーザーの場合と同様に API キーにロールを付与する必要があります。 |
Atlas は多くのリソースをプロジェクトにバインドします。多くのAPIリソースURLは | Atlas は多くのリソースをプロジェクトにバインドします。多くのAPIリソースURLは |
各サービスアカウントは 1 つの組織のみに属しますが、その組織内の任意の数のプロジェクトへのアクセスをサービスアカウントに許可できます。 | 各 API キーは 1 つの組織のみに属しますが、その組織内の任意の数のプロジェクトに API キーによるアクセスを許可できます。 |
サービスアカウントまたはそのアクセス トークンを使用して、Atlas UI から Atlas にログインすることはできません。 | API キーを使用して Atlas UI 経由で Atlas にログインすることはできません。 |
Atlas Administration APIへの認証に希望する方法を設定するには、「 組織へのプログラムによるアクセスの付与 」を参照してください。