자체 관리형 X.509 인증 설정하기

이 페이지의 내용

고려 사항

필요한 액세스 권한
전제 조건
공개 키 인프라를 사용하도록 프로젝트 구성
자체 관리형 X.509 인증 설정 보기 또는 수정
자체 관리형 X.509 인증을 사용하여 데이터베이스 사용자 추가

상호 TLS 또는 mTL이라고도 하는 자체 관리형 X.509 인증서를 사용하면 데이터베이스 사용자가 프로젝트의 클러스터에 액세스할 수 있습니다. 데이터베이스 사용자는 Atlas 사용자와는 별개입니다. 데이터베이스 사용자는 MongoDB 데이터베이스에 대한 액세스 권한이 있는 반면 Atlas 사용자는 Atlas 애플리케이션 자체에 대한 액세스 권한이 있습니다.

고려 사항

LDAP 인증을 활성화하면 Atlas에서 관리하는 X.509 인증서로 인증하는 사용자로 클러스터에 연결할 수 없습니다.

LDAP 권한 부여를 활성화한 후에는 자체 관리형 X.509 인증서로 인증하는 사용자로 클러스터에 연결할 수 있습니다 . 그러나 X.509 인증서에 있는 사용자의 일반 이름은 LDAP로 데이터베이스에 액세스할 수 있는 권한이 있는 사용자의 고유 이름과 일치해야 합니다.

자체 관리형 인증서로 인증하는 사용자와 Atlas에서 관리하는 X.509 인증서로 인증하는 사용자를 모두 동일한 데이터베이스에 둘 수 있습니다.

필요한 액세스 권한

데이터베이스 사용자를 관리하려면 Atlas에 대한 Organization Owner 또는 Project Owner 액세스 권한이 있어야 합니다.

전제 조건

자체 관리형 X.509 인증서를 사용하려면 MongoDB Atlas와 통합할 공개 키 인프라가 있어야 합니다.

공개 키 인프라를 사용하도록 프로젝트 구성

AtlasGo Atlas 에서 프로젝트 의 Advanced 페이지로 고 (Go) 합니다.

아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Advanced를 클릭합니다.
고급 페이지가 표시됩니다.

자체 관리형 X.509 인증을 켭니다.

Self-Managed X.509 Authentication 를 ON로 전환합니다.

PEM 인코딩된 인증 기관을 제공합니다.

Atlas CLI를 사용하여 지정한 프로젝트에 대해 하나의 고객 관리형 X.509 구성을 저장하려면 다음 명령어를 실행합니다.

atlas security customerCerts create [options]

명령 구문 및 매개변수에 대한 자세한 내용은 Atlas CLI 문서에서 Atlas 보안 고객 인증서 생성을 참조하세요.

팁

참조: 관련 링크

다음 중 하나를 통해 Atlas UI에서 인증 기관(CA)을 제공할 수 있습니다.

Upload를 클릭하고, 파일 시스템에서 .pem 파일을 선택하고, Save를 클릭합니다.
.pem 파일의 내용을 제공된 텍스트 영역에 복사하고 Save를 클릭합니다.

동일한 .pem 파일이나 텍스트 영역에서 여러 CA를 연결할 수 있습니다. 사용자는 제공된 CA에서 생성한 인증서로 인증할 수 있습니다.

CA를 업로드하면 프로젝트 수준 경고가 자동으로 생성되어 CA가 만료되기 30일 전에 알림을 보내 24시간마다 반복됩니다. Atlas의 Alert Settings 페이지에서 이 경고를 보고 편집할 수 있습니다. 경고 구성에 대한 자세한 내용은 경고 설정 구성을 참조하세요.

자체 관리형 X.509 인증 설정 보기 또는 수정

Atlas CLI를 사용하여 지정한 프로젝트에 대해 하나의 고객 관리형 X.509 구성의 세부 정보를 반환하려면 다음 명령어를 실행합니다.

atlas security customerCerts describe [options]

Atlas CLI를 사용하여 지정한 프로젝트에 대해 고객 관리형 X.509 구성 하나를 비활성화하려면 다음 명령을 실행합니다.

atlas security customerCerts disable [options]

이전 명령의 구문 및 매개변수에 대해 자세히 알아보려면 Atlas 보안 customerCerts 설명 및 Atlas security customerCerts 비활성화에 대한 Atlas CLI 문서를 참조하세요.

팁

참조: 관련 링크

Atlas UI를 사용하여 CA를 보거나 편집하려면 Self-Managed X.509 Authentication Settings 아이콘을 클릭하세요.

자체 관리형 X.509 인증을 사용하여 데이터베이스 사용자 추가

AtlasGo Atlas 에서 프로젝트 의 Database Access 페이지로 고 (Go) 합니다.

아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Database Access를 클릭합니다.
데이터베이스 액세스 페이지가 표시됩니다.

Add New Database User 대화 상자를 엽니다.

아직 표시되지 않은 경우 Database Users 탭을 클릭합니다.
딸깍 하는 소리 Add New Database User.

CERTIFICATE0}을 선택합니다.

사용자 정보를 입력합니다.

필드

설명

Distinguished Name

다음 표에서 사용자의 일반 이름(CN) 및 선택 사항인 추가 고유 이름 필드(RFC 4514)입니다.

이름	설명	유형	크기(MB)
`businesscategory`	`businessCategory` 조직에서 수행하는 업무의 종류를 설명하는 속성.	DirectoryString(영문)	사이즈(1..128)
`c`	두 글자 ISO 3166 국가 코드.	StringType	SIZE(2)
`cn`	객체의 일반적인 이름입니다. 객체가 사람에 해당하는 경우 일반적으로 사람의 이름 전체입니다.	StringType	사이즈 (1.. 64)
`countryofcitizenship`	RFC 3039 `CountryOfCitizenship` 속성은 적어도 하나의 시민권 국가 식별자를 포함해야 합니다. ISO 3166 코드만 허용합니다.	PrintableString	SIZE(2)
`countryofresidence`	RFC 3039 `CountryOfResidence` 하나 이상의 국가 값을 포함하는 속성입니다. ISO 3166 코드만 허용합니다.	PrintableString	SIZE(2)
`dateofbirth`	RFC 3039 `DateOfBirth` 주체의 생일을 지정하는 속성입니다.	시간을 표현하는 일반화된 형식: `YYYYMMDD000000Z`.
`dc`	`domainComponent` DNS 도메인 이름을 포함하는 속성 유형입니다.	StringType
`dn`	`dnQualifier` 항목의 상대적 고유 이름에 추가할 명확성 정보가 포함된 속성 유형입니다.	DirectoryString(영문)	사이즈 (1.. 64)
`e`	Verisign 인증서의 이메일 주소입니다.
`emailaddress`	`emailAddress` (RSA PKCS#9 확장) 속성은 전자 메일 주소를 비구조화된 ASCII 문자열로 지정합니다.	IA5String
`gender`	RFC 3039 `Gender` 주체의 성별 값을 지정하는 속성입니다. `M`, `F`, `m` 또는 `f`를 허용합니다.	PrintableString	SIZE(1)
`generation`	`generationQualifier` 일반적으로 사람 이름의 접미사 부분인 이름 문자열을 포함하는 속성 유형입니다.	DirectoryString(영문)	사이즈 (1.. 64)
`givenname`	성이 아닌 사람 이름의 일부인 이름 문자열입니다.	DirectoryString(영문)	사이즈 (1.. 64)
`initials`	성을 제외한 개인 이름의 일부 또는 전부의 이니셜입니다.	DirectoryString(영문)	사이즈 (1.. 64)
`l`	`localityName` 도시, 카운티 또는 기타 지리적 리전 등 지역이나 장소의 이름을 포함하는 속성입니다.	StringType	사이즈 (1.. 64)
`name`	(`id-at-name`) 이름 구문이 있는 사용자 속성 유형이 상속되는 속성 상위 유형입니다.	DirectoryString(영문)	사이즈 (1.. 64)
`nameofbirth`	ISIS-MTT `NameAtBirth` 사람의 출생 시 이름을 지정하는 속성입니다.	DirectoryString(영문)	사이즈 (1.. 64)
`o`	조직의 이름입니다.	StringType	사이즈 (1.. 64)
`ou`	조직 단위의 이름입니다.	StringType	사이즈 (1.. 64)
`placeofbirth`	RFC 3039 `PlaceOfBirth` 출생지의 값을 지정합니다.	DirectoryString(영문)	사이즈(1..128)
`postaladdress`	RFC 3039 `PostalAddress`는 주소 및 지리적 정보를 저장하기 위해 `stateOrProvinceName` 및 `localityName` 속성 유형을 포함할 수 있습니다.	시퀀스	DirectoryString(SIZE(1..30))의 크기(1..6)
`postalcode`	`postalCode` 우편 서비스 구역을 식별하기 위해 우편 서비스에서 사용하는 코드를 지정하는 속성입니다.	DirectoryString(영문)	사이즈(1..40)
`pseudonym`	RFC 3039 `pseudonym` 등록된 이름으로 정의되지 않은 철자를 사용하는 별명, 이름과 같은 가명을 지정하는 속성입니다.	DirectoryString(영문)	사이즈 (1.. 64)
`serialnumber`	기기 일련 번호 이름입니다.	StringType	사이즈 (1.. 64)
`sn`	기기 일련 번호 이름입니다.	StringType	사이즈 (1.. 64)
`st`	주 또는 도 이름입니다.	StringType	사이즈 (1.. 64)
`street`	거리 이름입니다.	StringType	사이즈 (1.. 64)
`surname`	X520name 유형의 이름 지정 속성입니다.	DirectoryString(영문)	사이즈 (1.. 64)
`t`	`Title` 조직 내에서 주체의 지정된 위치나 기능을 포함하는 속성입니다.	DirectoryString(영문)	사이즈 (1.. 64)
`telephonenumber`	`id-at-telephoneNumber`국제 전화 번호에 대해 국제적으로 합의된 형식입니다.	PrintableString	크기 (1..32)
`uid`	LDAP 사용자 ID입니다.	DirectoryString(영문)
`uniqueidentifier`	객체의 고유 식별자입니다.	DirectoryString(영문)
`unstructuredaddress`	PKCS#9 주체의 주소를 구조화되지 않은 디렉토리 로 지정하는 string 속성입니다.	DirectoryString(영문)
`unstructuredname`	PKCS#9 주체의 이름을 구조화되지 않은 ASCII 문자열로 지정하는 속성입니다.	DirectoryString(영문)	사이즈 (1.. 64)

고유 이름 필드에 대한 자세한 내용은 RFC 4514 를 참조하세요. .

예를 들면 다음과 같습니다.

CN=Jane Doe,O=MongoDB,C=US

User Privileges

다음 중 한 가지 방법으로 역할을 할당할 수 있습니다:

Atlas admin을 선택하면 사용자에게 readWriteAnyDatabase 및 여러 가지 관리 권한이 제공됩니다.
Read and write to any database를 선택하면 사용자에게 모든 데이터베이스에 읽고 쓸 수 있는 권한이 제공됩니다.
Only read any database를 선택하면 사용자에게 모든 데이터베이스를 읽을 수 있는 권한이 제공됩니다.
이전에 Atlas에서 만든 사용자 지정 역할을 선택하려면 Select Custom Role 을(를) 선택합니다. 기본 제공 데이터베이스 사용자 역할 이 원하는 권한 집합을 설명할 수 없는 경우 데이터베이스 사용자를 위한 사용자 지정 역할을 만들 수 있습니다. 사용자 지정 역할에 대한 자세한 내용은 사용자 지정 데이터베이스 역할 구성을 참조하세요.

Add Default Privileges를 클릭합니다. 이 옵션을 클릭하면 개별 역할을 선택하고 역할이 적용되는 데이터베이스를 지정할 수 있습니다. 선택 사항으로 read 및 readWrite 역할의 경우 컬렉션을 지정할 수도 있습니다. read 및 readWrite에 대한 컬렉션을 지정하지 않으면 역할은 데이터베이스 내 system 이외의 모든 컬렉션에 적용됩니다.

다음 표에는 Atlas 특정 권한, 각 권한이 적용되는 데이터베이스, 이것이 의미하는 권한 조치가 설명되어 있습니다.

Atlas 특정 권한	Database	권한 작업
`backup`	`admin`	`listDatabases` `listCollections` `listIndexes` `appendOplogNote` `getParameter` `serverStatus`
`clusterMonitor`	`admin`	`connPoolStats` `getCmdLineOpts` `getDefaultRWConcern` `getLog` `getParameter` `getShardMap` `hostInfo` `inprog` `listDatabases` `listSessions` `listShards` `replSetGetConfig` `replSetGetStatus` `serverStatus` `shardingState` `top`
`dbAdmin`	사용자 구성	`bypassDocumentValidation` `changeStream` `collMod` `collStats` `compact` `convertToCapped` `createCollection` `createIndex` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `dropDatabase` `dropIndex` `dropSearchIndex` `enableProfiler` `find` `killCursors` `listCollections` `listIndexes` `listSearchIndexes` `planCacheIndexFilter` `planCacheRead` `planCacheWrite` `reIndex` `renameCollectionSameDB` `storageDetails` `updateSearchIndex` `validate`
`dbAdminAnyDatabase`	`local` 및 `config`를 제외한 사용자가 구성되었습니다.	`dbAdminAnyDatabase`
`enableSharding`		`enableSharding`
`read`	사용자 구성	`changeStream` `collStats` `dbHash` `dbStats` `find` `killCursors` `listIndexes` `listCollections` `listSearchIndexes`
`readWrite`	사용자 구성	`changeStream` `collStats` `convertToCapped` `createCollection` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `createIndex` `dropIndex` `dropSearchIndex` `find` `insert` `killCursors` `listIndexes` `listCollections` `listSearchIndexes` `remove` `renameCollectionSameDB` `update`
`killOpSession`	사용자 구성	`inprog` `killop` `killAnySession` `killCursors` `listSessions`
`readWriteAnyDatabase`	`local` 및 `config`를 제외한 사용자가 구성되었습니다.	`readWriteAnyDatabase` `changeStream` `collStats` `convertToCapped` `createCollection` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `dropSearchIndex` `createIndex` `dropIndex` `find` `insert` `killCursors` `listIndexes` `listCollections` `listDatabases` `listSearchIndexes` `remove` `renameCollectionSameDB` `update`
`readAnyDatabase`	`local` 및 `config`를 제외한 사용자가 구성되었습니다.	`readAnyDatabase` `changeStream` `collStats` `dbHash` `dbStats` `find` `killCursors` `listIndexes` `listCollections` `listDatabases` `listSearchIndexes`

기본 제공 Atlas 권한에 대한 자세한 내용은 기본 제공 역할을 참조하세요.

권한 부여에 대한 자세한 내용은 MongoDB 매뉴얼의 Role-Based Access Control(역할 기반 액세스 제어) 및 Built-in Roles(내장 역할)를 참조하세요.

을(를) 클릭합니다.<a class=\" \" href=\" \" title=\" \"><svg xmlns=\" \" width=\" \" height=\" \" fill=\" \" viewbox=\" \" class=\" \" role=\" \" aria-label=\" \"><path fill=\" \" d=\" \"> <path fill=\" \" d=\" \"> Add User

돌아가기

워크로드(애플리케이션)

저장된 데이터 암호화

고려 사항

필요한 액세스 권한

전제 조건

공개 키 인프라를 사용하도록 프로젝트 구성

AtlasGo Atlas 에서 프로젝트 의 .css-h15tq0{font-style:normal;font-weight:700;}Advanced 페이지로 고 (Go) 합니다.

자체 관리형 X.509 인증을 켭니다.

PEM 인코딩된 인증 기관을 제공합니다.

팁

참조: 관련 링크

자체 관리형 X.509 인증 설정 보기 또는 수정

팁

참조: 관련 링크

자체 관리형 X.509 인증을 사용하여 데이터베이스 사용자 추가

AtlasGo Atlas 에서 프로젝트 의 Database Access 페이지로 고 (Go) 합니다.

Add New Database User 대화 상자를 엽니다.

CERTIFICATE0}을 선택합니다.

사용자 정보를 입력합니다.

을(를) 클릭합니다.<a class=\" \" href=\" \" title=\" \"><svg xmlns=\" \" width=\" \" height=\" \" fill=\" \" viewbox=\" \" class=\" \" role=\" \" aria-label=\" \"><path fill=\" \" d=\" \"> <path fill=\" \" d=\" \"> Add User

AtlasGo Atlas 에서 프로젝트 의 Advanced 페이지로 고 (Go) 합니다.