Docs Menu
Docs Home
/
MongoDB Atlas
/ /

자체 관리형 X.509 인증 설정하기

이 페이지의 내용

  • 고려 사항
  • 필요한 액세스 권한
  • 전제 조건
  • 공개 키 인프라를 사용하도록 프로젝트 구성
  • 자체 관리형 X.509 인증 설정 보기 또는 수정
  • 자체 관리형 X.509 인증을 사용하여 데이터베이스 사용자 추가

상호 TLS 또는 mTL이라고도 하는 자체 관리형 X.509 인증서를 사용하면 데이터베이스 사용자가 프로젝트의 클러스터에 액세스할 수 있습니다. 데이터베이스 사용자는 Atlas 사용자와는 별개입니다. 데이터베이스 사용자는 MongoDB 데이터베이스에 대한 액세스 권한이 있는 반면 Atlas 사용자는 Atlas 애플리케이션 자체에 대한 액세스 권한이 있습니다.

LDAP 인증을 활성화하면 Atlas에서 관리하는 X.509 인증서로 인증하는 사용자로 클러스터에 연결할 수 없습니다.

LDAP 권한 부여를 활성화한 후에는 자체 관리형 X.509 인증서로 인증하는 사용자로 클러스터에 연결할 수 있습니다 . 그러나 X.509 인증서에 있는 사용자의 일반 이름은 LDAP로 데이터베이스에 액세스할 수 있는 권한이 있는 사용자의 고유 이름과 일치해야 합니다.

자체 관리형 인증서로 인증하는 사용자와 Atlas에서 관리하는 X.509 인증서로 인증하는 사용자를 모두 동일한 데이터베이스에 둘 수 있습니다.

데이터베이스 사용자를 관리하려면 Atlas에 대한 Organization Owner 또는 Project Owner 액세스 권한이 있어야 합니다.

자체 관리형 X.509 인증서를 사용하려면 MongoDB Atlas와 통합할 공개 키 인프라가 있어야 합니다.

1
  1. 아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.

  2. 아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.

  3. 사이드바에서 Security 제목 아래의 Advanced를 클릭합니다.

    고급 페이지가 표시됩니다.

2

Self-Managed X.509 AuthenticationON로 전환합니다.

3

Atlas CLI를 사용하여 지정한 프로젝트에 대해 하나의 고객 관리형 X.509 구성을 저장하려면 다음 명령어를 실행합니다.

atlas security customerCerts create [options]

명령 구문 및 매개변수에 대한 자세한 내용은 Atlas CLI 문서에서 Atlas 보안 고객 인증서 생성을 참조하세요.

참조: 관련 링크

다음 중 하나를 통해 Atlas UI에서 인증 기관(CA)을 제공할 수 있습니다.

  • Upload를 클릭하고, 파일 시스템에서 .pem 파일을 선택하고, Save를 클릭합니다.

  • .pem 파일의 내용을 제공된 텍스트 영역에 복사하고 Save를 클릭합니다.

동일한 .pem 파일이나 텍스트 영역에서 여러 CA를 연결할 수 있습니다. 사용자는 제공된 CA에서 생성한 인증서로 인증할 수 있습니다.

CA를 업로드하면 프로젝트 수준 경고가 자동으로 생성되어 CA가 만료되기 30일 전에 알림을 보내 24시간마다 반복됩니다. Atlas의 Alert Settings 페이지에서 이 경고를 보고 편집할 수 있습니다. 경고 구성에 대한 자세한 내용은 경고 설정 구성을 참조하세요.

Atlas CLI를 사용하여 지정한 프로젝트에 대해 하나의 고객 관리형 X.509 구성의 세부 정보를 반환하려면 다음 명령어를 실행합니다.

atlas security customerCerts describe [options]

Atlas CLI를 사용하여 지정한 프로젝트에 대해 고객 관리형 X.509 구성 하나를 비활성화하려면 다음 명령을 실행합니다.

atlas security customerCerts disable [options]

이전 명령의 구문 및 매개변수에 대해 자세히 알아보려면 Atlas 보안 customerCerts 설명Atlas security customerCerts 비활성화에 대한 Atlas CLI 문서를 참조하세요.

참조: 관련 링크

Atlas UI를 사용하여 CA를 보거나 편집하려면 Self-Managed X.509 Authentication Settings 아이콘을 클릭하세요.

1
  1. 아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.

  2. 아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.

  3. 사이드바에서 Security 제목 아래의 Database Access를 클릭합니다.

    데이터베이스 액세스 페이지가 표시됩니다.

2
  1. 아직 표시되지 않은 경우 Database Users 탭을 클릭합니다.

  2. 딸깍 하는 소리 Add New Database User.

3
4
필드
설명

Distinguished Name

다음 표에서 사용자의 일반 이름(CN) 및 선택 사항인 추가 고유 이름 필드(RFC 4514)입니다.

이름
설명
유형
크기(MB)

businesscategory

businessCategory 조직에서 수행하는 업무의 종류를 설명하는 속성.

DirectoryString(영문)

사이즈(1..128)

c

두 글자 ISO 3166 국가 코드.

StringType

SIZE(2)

cn

객체의 일반적인 이름입니다. 객체가 사람에 해당하는 경우 일반적으로 사람의 이름 전체입니다.

StringType

사이즈 (1.. 64)

countryofcitizenship

RFC 3039 CountryOfCitizenship 속성은 적어도 하나의 시민권 국가 식별자를 포함해야 합니다. ISO 3166 코드만 허용합니다.

PrintableString

SIZE(2)

countryofresidence

RFC 3039 CountryOfResidence 하나 이상의 국가 값을 포함하는 속성입니다. ISO 3166 코드만 허용합니다.

PrintableString

SIZE(2)

dateofbirth

RFC 3039 DateOfBirth 주체의 생일을 지정하는 속성입니다.

시간을 표현하는 일반화된 형식: YYYYMMDD000000Z.

dc

domainComponent DNS 도메인 이름을 포함하는 속성 유형입니다.

StringType

dn

dnQualifier 항목의 상대적 고유 이름에 추가할 명확성 정보가 포함된 속성 유형입니다.

DirectoryString(영문)

사이즈 (1.. 64)

e

Verisign 인증서의 이메일 주소입니다.

emailaddress

emailAddress (RSA PKCS#9 확장) 속성은 전자 메일 주소를 비구조화된 ASCII 문자열로 지정합니다.

IA5String

gender

RFC 3039 Gender 주체의 성별 값을 지정하는 속성입니다. M, F, m 또는 f를 허용합니다.

PrintableString

SIZE(1)

generation

generationQualifier 일반적으로 사람 이름의 접미사 부분인 이름 문자열을 포함하는 속성 유형입니다.

DirectoryString(영문)

사이즈 (1.. 64)

givenname

성이 아닌 사람 이름의 일부인 이름 문자열입니다.

DirectoryString(영문)

사이즈 (1.. 64)

initials

성을 제외한 개인 이름의 일부 또는 전부의 이니셜입니다.

DirectoryString(영문)

사이즈 (1.. 64)

l

localityName 도시, 카운티 또는 기타 지리적 리전 등 지역이나 장소의 이름을 포함하는 속성입니다.

StringType

사이즈 (1.. 64)

name

(id-at-name) 이름 구문이 있는 사용자 속성 유형이 상속되는 속성 상위 유형입니다.

DirectoryString(영문)

사이즈 (1.. 64)

nameofbirth

ISIS-MTT NameAtBirth 사람의 출생 시 이름을 지정하는 속성입니다.

DirectoryString(영문)

사이즈 (1.. 64)

o

조직의 이름입니다.

StringType

사이즈 (1.. 64)

ou

조직 단위의 이름입니다.

StringType

사이즈 (1.. 64)

placeofbirth

RFC 3039 PlaceOfBirth 출생지의 값을 지정합니다.

DirectoryString(영문)

사이즈(1..128)

postaladdress

RFC 3039 PostalAddress는 주소 및 지리적 정보를 저장하기 위해 stateOrProvinceNamelocalityName 속성 유형을 포함할 수 있습니다.

시퀀스

DirectoryString(SIZE(1..30))의 크기(1..6)

postalcode

postalCode 우편 서비스 구역을 식별하기 위해 우편 서비스에서 사용하는 코드를 지정하는 속성입니다.

DirectoryString(영문)

사이즈(1..40)

pseudonym

RFC 3039 pseudonym 등록된 이름으로 정의되지 않은 철자를 사용하는 별명, 이름과 같은 가명을 지정하는 속성입니다.

DirectoryString(영문)

사이즈 (1.. 64)

serialnumber

기기 일련 번호 이름입니다.

StringType

사이즈 (1.. 64)

sn

기기 일련 번호 이름입니다.

StringType

사이즈 (1.. 64)

st

주 또는 도 이름입니다.

StringType

사이즈 (1.. 64)

street

거리 이름입니다.

StringType

사이즈 (1.. 64)

surname

X520name 유형의 이름 지정 속성입니다.

DirectoryString(영문)

사이즈 (1.. 64)

t

Title 조직 내에서 주체의 지정된 위치나 기능을 포함하는 속성입니다.

DirectoryString(영문)

사이즈 (1.. 64)

telephonenumber

id-at-telephoneNumber국제 전화 번호에 대해 국제적으로 합의된 형식입니다.

PrintableString

크기 (1..32)

uid

LDAP 사용자 ID입니다.

DirectoryString(영문)

uniqueidentifier

객체의 고유 식별자입니다.

DirectoryString(영문)

unstructuredaddress

PKCS#9 주체의 주소를 구조화되지 않은 디렉토리 로 지정하는 string 속성입니다.

DirectoryString(영문)

unstructuredname

PKCS#9 주체의 이름을 구조화되지 않은 ASCII 문자열로 지정하는 속성입니다.

DirectoryString(영문)

사이즈 (1.. 64)

고유 이름 필드에 대한 자세한 내용은 RFC 4514 를 참조하세요. .

예를 들면 다음과 같습니다.

CN=Jane Doe,O=MongoDB,C=US

User Privileges

다음 중 한 가지 방법으로 역할을 할당할 수 있습니다:

기본 제공 Atlas 권한에 대한 자세한 내용은 기본 제공 역할을 참조하세요.

권한 부여에 대한 자세한 내용은 MongoDB 매뉴얼의 Role-Based Access Control(역할 기반 액세스 제어)Built-in Roles(내장 역할)를 참조하세요.

5

돌아가기

워크로드(애플리케이션)