Configure Database Users
Nesta página
Crie usuários de banco de dados para fornecer aos clientes acesso aos clusters em seu projeto. O acesso de um usuário do banco de dados é determinado pelas funções atribuídas ao usuário. Quando você cria um usuário de banco de dados, qualquer uma das funções integradas adiciona o usuário a todos os clusters em seu projeto do Atlas. Você pode remover a função integrada padrão e definir privilégios específicos e funções personalizadas para adicionar o usuário a clusters específicos.
Os usuários do banco de dados são separados dos usuários do Atlas. Os usuários do banco de dados têm acesso aos bancos de dados MongoDB, enquanto os usuários Atlas têm acesso ao próprio aplicativo Atlas. O Atlas oferece suporte à criação de usuários temporários de banco de dados que expiram automaticamente dentro de um período de 7 dias configurável pelo usuário.
O Atlas audita a criação, exclusão e atualizações dos usuários de banco de dados na lista de atividades do projeto. O Atlas audita ações relativas aos usuários temporários e não temporários de banco de dados.
Para visualizar o Feed de atividades do projeto:
No Atlas, acesse a página Project Activity Feed.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Execute uma das seguintes etapas:
Clique no ícone Project Activity Feed à direita da barra de navegação.
Ao lado do menu Projects, expanda o menu Options, clique em Project Settings e clique em Activity Feed na barra lateral.
A página Project Activity Feed é exibida.
Para obter mais informações sobre o Feed de atividades do projeto, consulte Exibir todas as atividades.
O Atlas suporta um máximo de 100 usuários de banco de dados por projeto Atlas por padrão. Se você precisar de mais de 100 usuários de banco de dados em um projeto, pode usar a Atlas Administration API para aumentar o limite. Para obter assistência, contate o suporte do Atlas.
Importante
Você deve usar o Atlas CLI, Administration API, IU do Atlas ou uma integração compatível para adicionar, modificar ou excluir usuários de banco de dados em clusters do Atlas. Caso contrário, o Atlas reverte todas as modificações do usuário.
Autenticação do utilizador de banco de dados
O Atlas oferece as seguintes formas de autenticação para usuários do banco de dados:
SCRAM é o método-padrão de autenticação do MongoDB e requer uma senha para cada usuário.
O banco de dados de autenticação para usuários autenticados do SCRAM é o banco de dados admin.
Observação
Por padrão, o Atlas suporta autenticação SCRAM-SHA-256. Se você tiver quaisquer utilizadores de banco de dados criados antes da versão do MongoDB 4.0, atualize as senhas deles para gerar credenciais SCRAM-SHA-256. Você pode reutilizar senhas existentes.
Os certificados X.509, também conhecidos como TLS mútuo ou mTLS, permitem autenticação sem senha usando um certificado confiável.
O banco de dados de autenticação para usuários autenticados do X.509 é o banco de dados do $external.
Se você habilitar a autorização LDAP, não poderá se conectar aos seus clusters com usuários que se autenticam com um certificado X.509 gerenciado pelo Atlas. Para ativar o LDAP e conectar-se aos clusters com usuários X.509, consulte Configurar autenticação X.509 autogerenciada.
Você pode criar um usuário de banco de dados que usa um AWS IAM ARN de usuário ou função para autenticação.
O banco de dados de autenticação para usuários autenticados do AWS IAM é o banco de dados do $external.
A autenticação do AWS IAM está disponível apenas em clusters que usam o MongoDB versão 5.0 ou posterior.
Observação
Começar com MongoDB 8.0, A autenticação e autorização LDAP estão obsoletas. O recurso está disponível e continuará a operar sem alterações durante toda a vida útil do MongoDB 8. O LDAP será removido em uma versão principal futura.
Para obter detalhes, consulte Descontinuação do LDAP.
Você pode criar um usuário de banco de dados de dados que use LDAP para autenticação.
O banco de dados de autenticação para usuários autenticados via LDAP é o banco de dados $external.
Se você habilitar a autorização LDAP, não poderá se conectar aos seus clusters com usuários que se autenticam com um certificado X.509 gerenciado pelo Atlas. Para ativar o LDAP e conectar-se aos clusters com usuários X.509, consulte Configurar autenticação X.509 autogerenciada.
Você pode criar um usuário do banco de dados que usa o OIDC para autenticação.
O banco de dados de autenticação para usuários autenticados via OIDC é o banco de dados $external.
A autenticação OIDC está disponível apenas em clusters que usam a versão 7.0 do MongoDB ou superior.
Acesso necessário
Para adicionar usuários do banco de dados , você deve ter acesso doOrganization Owner , Project OwnerouProject Database Access Adminao Atlas.
Adicionar usuários do banco de dados
Um projeto pode ter usuários com métodos de autenticação diferentes.
Você não pode alterar o método de autenticação de um usuário após criá-lo. Para usar um método de autenticação alternativo, você deve criar um novo usuário.
O Atlas CLI utiliza os seguintes comandos para criar novos utilizadores de banco de dados e certificados X.509. As opções especificadas determinam o método de autenticação.
Para criar um utilizador de banco de dados para seu projeto utilizando o Atlas CLI, execute o seguinte comando:
atlas dbusers create [builtInRole]... [options]
Para criar um novo certificado X.509 gerenciado pelo Atlas para o utilizador de banco de dados especificado utilizando o Atlas CLI, execute o seguinte comando:
atlas dbusers certs create [options]
Para saber mais sobre a sintaxe e os parâmetros dos comandos anteriores, consulte a documentação do Atlas CLI para atlas dbusers create e atlas dbusers certs create.
Você pode adicionar usuários de banco de dados através da Atlas Administration API. As opções que você especifica determinam o método de autenticação. Para saber mais, consulte criar um usuário de banco de dados.
Selecione um mecanismo de autenticação e siga as etapas para criar um novo usuário do banco de dados com a IU do Atlas.
No Atlas, váGo para a Database Access página do seu projeto.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Database Access sob o título Security.
A página Acesso ao banco de dados é exibida.
Insira as informações do usuário.
Em Password Authentication, existem dois campos de texto.
Insira um nome de usuário para o novo usuário no campo de texto superior.
Digite uma senha para o novo usuário no campo de texto inferior.
Para usar uma senha gerada automaticamente pelo Atlas, clique no botão Autogenerate Secure Password.
Atribuir privilégios.
Selecione os privilégios do usuário do banco de dados. Você pode atribuir privilégios ao novo usuário das seguintes maneiras:
Selecione uma função integrada no menu suspenso Built-in Role. Você pode selecionar uma função integrada por usuário do banco de dados dentro da IU do Atlas. Se você excluir a opção padrão, você poderá clicar em Add Built-in Role para selecionar uma nova função integrada.
Se você tiver alguma função personalizada definida, poderá expandir a seção Custom Roles e selecionar uma ou mais funções no menu suspenso Custom Roles. Clique em Add Custom Role para adicionar mais funções personalizadas. Você também pode clicar no link Custom Roles para visualizar os papéis personalizados para seu projeto.
Expanda a seção Specific Privileges e selecione um ou mais privilégios no menu suspenso Specific Privileges. Clique em Add Specific Privilege para adicionar mais privilégios. Isso atribui ao usuário privilégio específicos em banco de dados e coleção individuais.
O Atlas pode aplicar uma função integrada, múltiplas funções personalizadas e múltiplos privilégios específicos a um único usuário do banco de dados.
Para remover uma função ou privilégio aplicado, clique em Delete ao lado da função ou privilégio que você deseja excluir.
Observação
O Atlas não exibe o ícone Delete ao lado de sua seleção Built-in Role, Custom Role ou Specific Privilege se você tiver selecionado apenas uma opção. Você pode excluir o papel ou privilégio selecionado após aplicar outro papel ou privilégio.
Para obter mais informações sobre autorização, consulte Controle de acesso baseado em funções e Funções integradas no manual do MongoDB.
Especifique os recursos no projeto que o usuário pode acessar.
Por padrão, os usuários podem acessar todos os clusters e instâncias do banco de dados federado no projeto. Você pode restringir o acesso a clusters específicos e instâncias de bancos de dados federados fazendo o seguinte:
Alterne Restrict Access to Specific Clusters/Federated Database Instances para ON.
Selecione os clusters e as instâncias de banco de dados federados aos quais conceder acesso ao usuário na lista Grant Access To.
Salve como usuário temporário.
Alterne Temporary User para On e escolha um tempo após o qual o Atlas pode excluir o usuário da lista suspensa Temporary User Duration. Você pode selecionar um dos seguintes períodos para o usuário existir:
6 horas
1 dia
1 semana
Na aba Database Users, os usuários temporários exibem o tempo restante até que o Atlas exclua o usuário. Depois que o Atlas exclui o usuário, qualquer cliente ou aplicativo que usa as credenciais do usuário temporário perde o acesso ao cluster.
No Atlas, váGo para a Database Access página do seu projeto.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Database Access sob o título Security.
A página Acesso ao banco de dados é exibida.
Insira as informações do usuário.
Insira um nome de usuário para o novo usuário no campo de texto Common Name.
(Opcional) Se você quiser baixar um certificado gerenciado pelo Atlas após a criação do novo usuário, alterne a opção Download certificate when user is added para On.
Observação
Para baixar o certificado ao salvar, você deve fornecer uma data de expiração do certificado.
(Opcional) Selecione um período de expiração de certificado.
Certificados X.509 expiram e são inválidos após a data de expiração do certificado definida. Um usuário não pode fazer login com um certificado X.509 expirado e deve receber um novo certificado.
Para ajudar a gerenciar isso, o Atlas cria automaticamente um alerta no nível do projeto quando você cria um novo usuário com a autenticação X.509 ativada. Esse alerta envia uma notificação 30 dias antes da expiração do certificado mais recente do usuário, repetindo a cada 24 horas. Você pode visualizar e editar esse alerta na página Alert Settings do Atlas. Para obter mais informações sobre como configurar alertas, consulte Definir configurações de alerta.
Importante
Se um usuário perder seu certificado, ele precisará de um novo certificado para se conectar novamente.
Importante
Você não pode revogar certificados X.509. Para revogar o acesso de um usuário autenticado por certificado X.509 ao seu projeto, você deve excluir esse usuário.
Se preferir gerenciar seus próprios certificados X.509, você pode fazer o upload de uma autoridade de certificação codificada por PEM por meio de certificados X.509 autogerenciados.
Atribuir privilégios.
Selecione os privilégios do usuário do banco de dados. Você pode atribuir privilégios ao novo usuário das seguintes maneiras:
Selecione uma função integrada no menu suspenso Built-in Role. Você pode selecionar uma função integrada por usuário do banco de dados dentro da IU do Atlas. Se você excluir a opção padrão, você poderá clicar em Add Built-in Role para selecionar uma nova função integrada.
Se você tiver alguma função personalizada definida, poderá expandir a seção Custom Roles e selecionar uma ou mais funções no menu suspenso Custom Roles. Clique em Add Custom Role para adicionar mais funções personalizadas. Você também pode clicar no link Custom Roles para visualizar os papéis personalizados para seu projeto.
Expanda a seção Specific Privileges e selecione um ou mais privilégios no menu suspenso Specific Privileges. Clique em Add Specific Privilege para adicionar mais privilégios. Isso atribui ao usuário privilégio específicos em banco de dados e coleção individuais.
O Atlas pode aplicar uma função integrada, múltiplas funções personalizadas e múltiplos privilégios específicos a um único usuário do banco de dados.
Para remover uma função ou privilégio aplicado, clique em Delete ao lado da função ou privilégio que você deseja excluir.
Observação
O Atlas não exibe o ícone Delete ao lado de sua seleção Built-in Role, Custom Role ou Specific Privilege se você tiver selecionado apenas uma opção. Você pode excluir o papel ou privilégio selecionado após aplicar outro papel ou privilégio.
Para obter mais informações sobre autorização, consulte Controle de acesso baseado em funções e Funções integradas no manual do MongoDB.
Especifique os recursos no projeto que o usuário pode acessar. Por padrão, os usuários podem acessar todos os clusters e instâncias do banco de dados federado no projeto. Você pode restringir o acesso a clusters específicos e instâncias de bancos de dados federados fazendo o seguinte:
Alterne Restrict Access to Specific Clusters/Federated Database Instances para ON.
Selecione os clusters e as instâncias de banco de dados federados aos quais conceder acesso ao usuário na lista Grant Access To.
Observação
A autenticação do AWS IAM está disponível apenas em clusters que usam o MongoDB versão 5.0 ou posterior.
No Atlas, váGo para a Database Access página do seu projeto.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Database Access sob o título Security.
A página Acesso ao banco de dados é exibida.
Atribuir privilégios.
Selecione os privilégios do usuário do banco de dados. Você pode atribuir privilégios ao novo usuário das seguintes maneiras:
Selecione uma função integrada no menu suspenso Built-in Role. Você pode selecionar uma função integrada por usuário do banco de dados dentro da IU do Atlas. Se você excluir a opção padrão, você poderá clicar em Add Built-in Role para selecionar uma nova função integrada.
Se você tiver alguma função personalizada definida, poderá expandir a seção Custom Roles e selecionar uma ou mais funções no menu suspenso Custom Roles. Clique em Add Custom Role para adicionar mais funções personalizadas. Você também pode clicar no link Custom Roles para visualizar os papéis personalizados para seu projeto.
Expanda a seção Specific Privileges e selecione um ou mais privilégios no menu suspenso Specific Privileges. Clique em Add Specific Privilege para adicionar mais privilégios. Isso atribui ao usuário privilégio específicos em banco de dados e coleção individuais.
O Atlas pode aplicar uma função integrada, múltiplas funções personalizadas e múltiplos privilégios específicos a um único usuário do banco de dados.
Para remover uma função ou privilégio aplicado, clique em Delete ao lado da função ou privilégio que você deseja excluir.
Observação
O Atlas não exibe o ícone Delete ao lado de sua seleção Built-in Role, Custom Role ou Specific Privilege se você tiver selecionado apenas uma opção. Você pode excluir o papel ou privilégio selecionado após aplicar outro papel ou privilégio.
Para obter mais informações sobre autorização, consulte Controle de acesso baseado em funções e Funções integradas no manual do MongoDB.
Especifique os recursos no projeto que o usuário pode acessar.
Por padrão, os usuários podem acessar todos os clusters e instâncias do banco de dados federado no projeto. Você pode restringir o acesso a clusters específicos e instâncias de bancos de dados federados fazendo o seguinte:
Alterne Restrict Access to Specific Clusters/Federated Database Instances para ON.
Selecione os clusters e as instâncias de banco de dados federados aos quais conceder acesso ao usuário na lista Grant Access To.
Salve como usuário temporário.
Alterne Temporary User para On e escolha um tempo após o qual o Atlas pode excluir o usuário da lista suspensa Temporary User Duration. Você pode selecionar um dos seguintes períodos para o usuário existir:
6 horas
1 dia
1 semana
Na aba Database Users, os usuários temporários exibem o tempo restante até que o Atlas exclua o usuário. Depois que o Atlas exclui o usuário, qualquer cliente ou aplicativo que usa as credenciais do usuário temporário perde o acesso ao cluster.
Exemplo de string de conexão do AWS IAM
A conexão com o Atlas usando a autenticação AWS IAM com o mongosh requer a versão do shell v0.9.0 ou posterior.
Use suas credenciais de AWS IAM, usando o ID da chave de acesso como nome de usuário e sua chave secreta como senha.
O parâmetro de consulta
authSourceé$external, URL codificado como%24external.O parâmetro de query
authMechanisméMONGODB-AWS.Exemplo
mongosh "mongodb+srv://<atlas-host-name>/test?authSource=%24external&authMechanism=MONGODB-AWS" --username <access-key-id> --password <secret-key>
No Atlas, váGo para a Database Access página do seu projeto.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Database Access sob o título Security.
A página Acesso ao banco de dados é exibida.
Abra a caixa de diálogo Add New Database User or Group.
Clique em Add New Database User or Group.
Observação
Até que você aplique seu IdP do Workforce ao Atlas, esse botão diz Add New Database User.
Selecione Federated Auth.
Na seção Authentication Method, selecione Federated Auth.
Observação
Até habilitar o Workforce IdP para sua organização, você não poderá selecionar essa caixa.
Selecione o fornecedor de identidade e identificador
a. Na seção Select Identity Provider , selecione um provedor de identidade OIDC configurado.
Especifique o identificador de usuário ou o identificador de grupo associado ao seu Workforce Identity Provider configurado.
Observação
Para usuários do Azure Entra ID, esse valor é mapeado para o ID do objeto do seu grupo de usuários do Azure em vez do nome do grupo de usuários.
Atribuir privilégios de usuário ou grupo.
Para atribuir privilégios ao novo usuário ou grupo, faça uma ou mais das seguintes tarefas:
Selecione uma função integrada no menu suspenso Built-in Role.
Você pode selecionar um papel embutido por grupo de banco de dados na UI do Atlas.
Se você excluir a opção padrão, você poderá clicar em Add Built-in Role para selecionar um novo papel embutido.
Selecione ou adicione funções personalizadas.
Se você tiver alguma função personalizada definida, poderá expandir a seção Custom Roles e selecionar uma ou mais funções no menu suspenso Custom Roles .
Clique em Add Custom Role para adicionar mais funções personalizadas.
Clique no link Custom Roles para visualizar os papéis personalizados para seu projeto.
Adicionar privilégios.
Expanda a seção Specific Privileges e selecione um ou mais privilégios do Specific Privileges menu suspenso.
Clique em Add Specific Privilege para adicionar mais privilégios. Isso atribui privilégios específicos do grupo em bancos de dados e coleções individuais.
Remova uma função ou privilégio aplicado.
- Clique em Delete ao lado do
- função ou privilégio a ser excluído.
Observação
O Atlas não exibe o ícone Delete ao lado de sua seleção Built-in Role, Custom Role ou Specific Privilege se você tiver selecionado apenas uma opção. Você pode excluir o papel ou privilégio selecionado após aplicar outro papel ou privilégio.
O Atlas pode aplicar um papel embutido, múltiplos papéis personalizados e múltiplos privilégios específicos para um grupo do banco de dados.
Para saber mais sobre autorização, consulte Controle de acesso baseado em funções e Funções incorporadas no manual MongoDB.
Especifique os recursos no projeto que o usuário ou grupo pode acessar.
Por padrão, os grupos podem acessar todos os clusters e instâncias do banco de dados federado no projeto. Para restringir o acesso a clusters específicos e instâncias do banco de dados federado:
Alterne Restrict Access to Specific Clusters/Federated Database Instances para On.
Selecione os clusters e as instâncias de banco de dados federados aos quais conceder acesso ao grupo na lista Grant Access To.
Salve como usuário ou grupo temporário.
Alterne Temporary User ou Temporary Group para On e escolha um tempo após o qual o Atlas pode excluir o usuário ou grupo a partir da lista suspensa Temporary User Duration ou Temporary Group Duration . Você pode selecionar um dos seguintes períodos para o grupo existir:
6 horas
1 dia
1 semana
Na guia Database Users , usuários ou grupos temporários exibem o tempo restante até que o Atlas exclua os usuários ou grupo. Depois que o Atlas exclui o usuário ou grupo, qualquer cliente ou aplicativo que use as credenciais temporárias do usuário ou grupo perde o acesso ao cluster.
Observação
Começar com MongoDB 8.0, A autenticação e autorização LDAP estão obsoletas. O recurso está disponível e continuará a operar sem alterações durante toda a vida útil do MongoDB 8. O LDAP será removido em uma versão principal futura.
Para obter detalhes, consulte Descontinuação do LDAP.
Siga as etapas para Configurar autenticação com LDAP e, em seguida, siga as etapas para Adicionar um usuário ou grupo de banco de dados LDAP.
Exibir usuários e certificados do banco de dados
Visualizar usuários de banco de dados
Para listar todos os usuários do banco de dados do Atlas para seu projeto utilizando a Atlas CLI, execute o seguinte comando:
atlas dbusers list [options]
Para retornar os detalhes de um usuário do banco de dados Atlas no projeto que você especifica utilizando a Atlas CLI, execute o seguinte comando:
atlas dbusers describe <username> [options]
Para saber mais sobre a sintaxe e os parâmetros dos comandos anteriores, consulte a documentação do Atlas CLI para atlas dbusers list e atlas dbusers describe.
Ver certificados X.509 para um utilizador de banco de dados
Para listar todos os certificados não expirados gerenciados pelo Atlas para um usuário de banco de dados utilizando a Atlas CLI, execute o seguinte comando:
atlas dbusers certs list <username> [options]
Para saber mais sobre a sintaxe do comando e parâmetros, consulte a documentação do Atlas CLI para atlas dbusers certs list.
Para visualizar usuários de banco de dados do Atlas usando a Atlas Administration API, consulte obter tudo.
Para exibir usuários do banco de dados do Atlas e certificados X.509 na interface do usuário do Atlas:
No Atlas, váGo para a Database Access página do seu projeto.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Database Access sob o título Security.
A página Acesso ao banco de dados é exibida.
Modificar usuários do banco de dados
Para atualizar um usuário do banco de dados do seu projeto utilizando o Atlas CLI, execute o seguinte comando:
atlas dbusers update <username> [options]
Para saber mais sobre a sintaxe e os parâmetros do comando, consulte a documentação do Atlas CLI para atlas dbusers update.
Você pode atualizar usuários de banco de dados por meio da Administration API do Atlas Para saber mais, consulte Atualizar um.
Para modificar usuários existentes para um projeto Atlas:
No Atlas, váGo para a Database Access página do seu projeto.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Database Access sob o título Security.
A página Acesso ao banco de dados é exibida.
Modificar um usuário existente.
Se ainda não estiver exibido, clique na aba Database Users.
Clique em Edit para o usuário que você deseja modificar.
Você pode modificar os privilégios e detalhes de autenticação atribuídos ao usuário. Você não pode modificar o método de autenticação.
A tabela a seguir descreve o que você pode fazer para cada usuário:
Tipo de usuárioem açãoUsuários autenticados por SCRAM
Edite a senha de um usuário.
Usuários autenticados por certificado X.509
Baixe um novo certificado.
Usuários do AWS IAM
Modifique os privilégios de acesso ao banco de dados.
Usuários temporários
Modifique o período de tempo de existência do usuário ou torne o usuário um usuário permanente, desde que a data de expiração do usuário ainda não tenha passado.
Observação
Você não pode transformar um usuário permanente em usuário temporário. Se você transformar um usuário temporário em um usuário permanente, não poderá torná-lo temporário novamente.
Clique em Update User para salvar as alterações.
Excluir usuários do banco de dados
Para excluir um usuário de banco de dados do seu projeto utilizando o Atlas CLI, execute o seguinte comando:
atlas dbusers delete <username> [options]
Para saber mais sobre a sintaxe do comando e parâmetros, consulte a documentação do Atlas CLI para atlas dbusers delete.
Você pode excluir usuários de banco de dados através da Atlas Administration API. Para saber mais, consulte excluir um.
Para excluir usuários existentes de um projeto do Atlas usando a interface do usuário do Atlas:
No Atlas, váGo para a Database Access página do seu projeto.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Database Access sob o título Security.
A página Acesso ao banco de dados é exibida.