セキュリティ

組織とプロジェクトのアクセス

ユーザーは、ストリーム プロセシング インスタンスとそれに関連する接続レジストリをプロジェクト レベルで管理します。 Atlas Stream Processing では、この目的で Project Stream Processing Ownerロールが提供されています。 このロールを持つユーザーは、任意のストリーム プロセシング インスタンスまたは接続レジストリ管理アクションを実行し、プロジェクト内のデータベースとデータベースユーザーを管理できます。 このロールをユーザーに割り当てて、最小特権の原則に従って機能に不要な権限を付与することなく、Atlas Stream Processing プロジェクトを構成するために必要なすべてのアクションを実行できるようにします。

必要に応じて、Project Stream Processing Owner ロールまたは ロールのいずれかを持つユーザーとして、Project Owner Organization Ownerロールで認可されたアクションを実行できます。

Atlas Stream Processing インスタンスのアクセス

既存のストリーム プロセシング インスタンスにアクセスし、ストリーム プロセッサをデータベース ユーザーとして管理できます。これは、Atlas クラスターにアクセスする方法と同様です。 データベースユーザーに割り当てられたロールとアクションによって、ストリームプロセシングインスタンス内のストリームプロセッサで実行できる操作が決まります。 Atlas Stream Processing では、次の特権アクションが提供されます。

• processStreamProcessor

• createStreamProcessor

• startStreamProcessor

• stopStreamProcessor

• dropStreamProcessor

• listStreamProcessors

• sampleStreamProcessor

• streamProcessorStats

• listConnections

必要なデータベースユーザーまたはカスタムロールに正確にそれらの特権アクションを割り当てることができます。 あるいは、 atlasAdminまたはreadWriteAnyDatabaseを持つデータベースユーザーは、これらのアクションをすべて実行できます。

curl -H 'Accept: application/vnd.atlas.2023-11-15+json' -s \
'https://cloud.mongodb.com/api/atlas/v2/unauth/controlPlaneIPAddresses'

実行プロファイル

Atlas データベースに接続するときに使用するデータベースユーザー ロールを、 $sourceまたは$mergeシンクのいずれかとして構成できます。 Atlasこれにより、Atlas Stream ProcessingAtlas user インスタンスとその接続を構成する昇格特権 の認証情報を介して、 Stream Processing 固有のデータベース ユーザーが、そのデータベースをホストしているクラスターに間接的にアクセスするのを防ぐことができます。

監査

Atlas Stream Processing の監査により、管理者はストリーム プロセシング インスタンスの認証およびエンティティ マネジメント イベントを追跡できます。 特定のストリーム プロセシング インスタンスで監査可能なイベントが発生するたびに、Atlas Stream Processing はそのイベントをそのストリーム プロセシング インスタンスのログに書込みます。 は、それが属するストリーム プロセシング インスタンスの有効期間中、ログを保持します。また、Atlas Stream Processing は古いイベントを切り捨てません。 ストリーム プロセシング インスタンスを削除すると、そのストリーム プロセシング インスタンスに属するログがさらに30日間保持されます。

Atlas Stream Processing インスタンスの監査ログをダウンロードするには、「監査ログのダウンロード 」を参照してください。

Atlas Stream Processing は、次の認証イベントの監査をサポートしています。

Atlas Stream Processing は、次のエンティティ マネジメント イベントの監査をサポートしています。