Crie usuários de banco de dados para fornecer aos clientes acesso aos clusters em seu projeto.
Observação
O Modelo de responsabilidade compartilhada do MongoDB Atlas define os direitos complementares do MongoDB e de seus clientes em manter um ambiente de dados seguro e resiliente. Nesse framework, o MongoDB gerencia a segurança e a integridade operacional da plataforma subjacente, enquanto os clientes são responsáveis pelas políticas de configuração, gerenciamento e dados de suas implantações específicas. Para obter uma análise detalhada da propriedade em segurança e segurança operacional, consulte Modelo de responsabilidade compartilhada.
O acesso de um usuário de banco de dados é determinado pelas funções atribuídas ao usuário. Quando você cria um usuário de banco de dados, qualquer uma das funções integradas adiciona o usuário a todos os clusters em seu projeto Atlas. Para especificar quais recursos um usuário de banco de dados pode acessar em seu projeto, você pode selecionar a opção Restrict Access to Specific Clusters na IU do Atlas ou definir privilégios específicos e funções personalizadas.
Os usuários do banco de dados são separados dos usuários do Atlas. Os usuários do banco de dados têm acesso aos bancos de dados MongoDB, enquanto os usuários Atlas têm acesso ao próprio aplicativo Atlas. O Atlas oferece suporte à criação de usuários temporários de banco de dados que expiram automaticamente dentro de um período de 7 dias configurável pelo usuário.
O Atlas audita a criação, exclusão e atualizações de usuários temporários e não temporários do banco de dados no feed de atividadesdo projeto.
Observação
Sistemas autogerenciados
As informações nesta página se aplicam somente a implantações hospedadas no Atlas. Para saber como criar usuários de banco de dados em implantações autogerenciadas, veja Criar um usuário em implantações autogerenciadas.
Limitações
As limitações a seguir se aplicam apenas a implantações hospedadas no MongoDB Atlas. Se algum desses limites apresentar um problema para sua organização, entre em contato com o suporte do Atlas.
Você deve usar a Atlas CLI, Administration API, Atlas UI, ou uma integração com suporte para gerenciar usuários de banco de dados em clusters do Atlas. Caso contrário, o Atlas reverte todas as modificações do usuário.
As funções integradas e os privilégios específicos do Atlas disponíveis suportam um subconjunto de comandos do MongoDB. Para obter mais informações, consulte Comandos não suportados em M10+ Clusters para obter mais informações.
Você pode criar um máximo de 100 usuários de banco de dados por projeto Atlas.
Métodos de autenticação do usuário de banco de dados
O Atlas oferece as seguintes formas de autenticação para usuários do banco de dados:
Senha: SCRAM é o método-padrão de autenticação do MongoDB e requer uma senha para cada usuário.
O banco de dados de autenticação para usuários autenticados via SCRAM é o banco de dados
admin.Observação
Por padrão, o Atlas suporta autenticação SCRAM-SHA-256. Se você criou um usuário antes do MongoDB 4.0, deverá atualizar o MongoDB 4.0, atualize suas senhas para gerar credenciais SCRAM-SHA-256. Você pode reutilizar senhas existentes.
Quando usar SCRAM:
Você pode usar a autenticação SCRAM para usuários humanos e usuários de aplicativo. Para ambientes inferiores, o SCRAM é um método de autenticação adequado. Para ambientes de produção e superiores, siga as práticas recomendadas de segurança para manter os segredos seguro e de curto prazo, como a integração com soluções de gerenciamento de acesso privilegiado (PAM).
Certificados X.509: Os certificados X.509, também conhecidos como TLS mútuo ou mTLS, permitem autenticação sem senha usando um certificado confiável.
O banco de dados de autenticação para usuários autenticados do X.509 é o banco de dados do
$external.Se você habilitar a autorização LDAP, não poderá se conectar aos seus clusters com usuários que se autenticam com um certificado X.509 gerenciado pelo Atlas. Para ativar LDAP e conectar-se aos seus clusters com usuários X.509, consulte Configurar certificados X.509 autogerenciados.
Quando usar o X.509:
A autenticação X.509 é adequada para o acesso seguro à carga de trabalho quando a federação de identidade da carga de trabalho (OIDC) ou a autenticação do AWS IAM não são viáveis, ou quando a autenticação mútua é necessária.
OIDC: a autenticação OpenID Connect (OIDC) habilita a autenticação sem senha e sem segredo usando provedores de identidade externos. O Atlas é compatível com os seguintes tipos de autenticação OIDC:
Federação de Identidade da Força de Trabalho para entidades humanos, como funcionários, parceiros e terceirizados.
Federação de Identidade de carga de trabalho para aplicativos que usam identidades programáticas externas, como Azure Service Principals, Identidades Gerenciadas do Azure e Google Service Contas.
O banco de dados de autenticação para usuários autenticados do OIDC é o banco de dados do
$external.A autenticação OIDC está disponível apenas em clusters que usam MongoDB versão 7.0 e superior.
Quando usar o OIDC:
Para usuários humanos, recomendamos que você use o Workforce Identity Federation com o OIDC.
Para usuários de aplicativos, recomendamos que você use o Workload Identity Federation com o OIDC para aplicativos executados no GCP ou no Azure.
AWS IAM: você pode criar um usuário de banco de dados que usa um usuário do AWS IAM ou ARN de função para autenticação.
O banco de dados de autenticação para usuários autenticados do AWS IAM é o banco de dados do
$external.Quando usar o AWS IAM:
Recomendamos que você use a autenticação do AWS IAM com funções do IAM para usuários de aplicativo que executam no AWS.
Acesso necessário
Para adicionar usuários de banco de dados, você deve ter acesso do Organization Owner, Organization Stream Processing Admin, Project Owner, Project Stream Processing Owner ou Project Database Access Admin ao Atlas.