Menu Docs
Página inicial do Docs
/
MongoDB Atlas
/
Consultar dados federados
/
Começar
/
Configurar uma conexão

Configurar Autenticação com Amazon Web Services IAM

Nesta página

  • Configurar Autenticação com Funções Amazon Web Services IAM
  • Conceder acesso ao banco de dados a funções do IAM do Amazon Web Services
  • Conecte-se ao Atlas Cluster usando Amazon Web Services IAM

É possível configurar um usuário de banco de dados de dados para usar um ARN de Amazon Web Services função ou usuário IAM para autenticação. Você pode se conectar ao seu banco de dados de dados usando mongosh e drivers e se autenticar usando seu ARN de função ou usuário do Amazon Web Services IAM . Usar Amazon Web Services IAM reduz o número de mecanismos de autenticação e o número de segredos a serem gerenciados. A chave secreta que você usa para autenticação não é enviada pelo cabo para o Atlas e não é mantida pelo driver.

Configurar Autenticação com Funções Amazon Web Services IAM

Observação

Não é possível configurar a autenticação para entidades do Amazon Web Services IAM quando a autorização LDAP está habilitada.

Se você precisar de autenticação para um principal Amazon Web Services IAM, considere mover os clusters que deseja acessar com a autenticação Amazon Web Services IAM para outro projeto em que a autorização LDAP esteja desabilitada.

Você pode configurar o Amazon Web Services IAM Roles para autenticar os tipos de computação Amazon Web Services em seus Atlas clusters.

Para Amazon Web Services Lambda e HTTP (ECS e EC),2 os drivers leem automaticamente as variáveis de ambiente . Para Amazon Web Services EKS, você deve atribuir manualmente a função do IAM . Esta página descreve como o Amazon Web Services Lambda, Amazon Web Services ECS e Amazon Web Services EKS podem se conectar usando uma função Amazon Web Services IAM .

Observação

Você deve atribuir um role IAM a Lambda, EC2, ECS ou EKS no console do AWS.

O AWS Lambda passa informações para as funções por meio das seguintes variáveis de ambiente se você atribuir uma função de execução à função lambda.

  • AWS_ACCESS_KEY_ID

  • AWS_SECRET_ACCESS_KEY

  • AWS_SESSION_TOKEN

Observação

Você não precisa criar manualmente essas variáveis de ambiente ao usar uma função de execução em sua função.

Para saber mais sobre essas variáveis de ambiente, consulte Usando variáveis de ambiente AWS Lambda.

AWS ECS obtém as credenciais do seguinte URI:

http://169.254.170.2 + AWS_CONTAINER_CREDENTIALS_RELATIVE_URI

AWS_CONTAINER_CREDENTIALS_RELATIVE_URI é uma variável de ambiente. Para saber mais, consulte Funções de IAM para tarefas.

O AWS EC2 obtém as credenciais do Instance Metadata Service V2 no seguinte URL:

http://169.254.169.254/latest/meta-data/iam/security-credentials/

Para saber mais, consulte Executar uma instância com uma função do IAM.

Para saber como configurar uma Amazon Web Services função do IAM para autenticação com ECS Fargate, consulte Amazon Web Services a Amazon Web Services documentação do .

Para AWS EKS, você deve primeiro definir o role IAM ao seu pod para configurar as seguintes variáveis de ambiente nesse pod:

  • AWS_WEB_IDENTITY_TOKEN_FILE - contém o caminho para o arquivo do token de identidade da web.

  • AWS_ROLE_ARN - contém a função IAM usada para se conectar ao seu cluster.

Para obter informações sobre como atribuir uma função de IAM ao seu pod, consulte a documentação da AWS.

Após atribuir a função do IAM ao pod, é preciso assumir manualmente a função do IAM para se conectar ao cluster.

Para assumir o role manualmente:

  1. Use o AWS SDK para chamar AssumeRoleWithWebIdentity.

    Dica

    • Omitir o parâmetro ProviderID.

    • Localize o valor do parâmetro WebIdentityToken no arquivo descrito na variável de ambiente AWS_WEB_IDENTITY_TOKEN_FILE do seu podcast.

  2. Passar as credenciais que você recebeu na etapa anterior para o driver do MongoDB. Veja a documentação do driver para obter detalhes.

Conceder acesso ao banco de dados a funções do IAM do Amazon Web Services

Para conceder acesso ao banco de dados de dados ao role Amazon Web Services IAM , conclua as etapas descritas na seção Configurar usuários do banco de dados para Amazon Web Services IAM. Para obter mais informações sobre como conceder acesso ao banco de dados de dados usando o Atlas CLI, a API de administração do Atlas ou a UI do Atlas , consulte Adicionar usuários do banco de dados.

Conecte-se ao Atlas Cluster usando Amazon Web Services IAM

Para se conectar ao Atlas com suas credenciais do Amazon Web Services IAM usando mongosh, forneça uma connection string que especifique o mecanismo de autenticação MONGODB-Amazon Web Services . Esse formato de connection string se aplica a todos os mecanismos de autenticação Amazon Web Services IAM.

Importante

Você deve configurar a autenticação usando um dos métodos descritos em Configurar a autenticação com funções Amazon Web Services IAM antes de poder usar esse formato de connection string .

A conexão com o Atlas usando a autenticação AWS IAM com o mongosh requer a versão do shell v0.9.0 ou posterior.

  • Use suas credenciais de AWS IAM, usando o ID da chave de acesso como nome de usuário e sua chave secreta como senha.

  • O parâmetro de consulta authSource é $external, URL codificado como %24external.

  • O parâmetro de query authMechanism é MONGODB-AWS.

    Exemplo

    mongosh "mongodb+srv://<atlas-host-name>/test?authSource=%24external&authMechanism=MONGODB-AWS" --username <access-key-id> --password <secret-key>

Dica

Veja também:

Funções de IAM para contas de serviço

Voltar

Papéis do Banco de Dados Personalizado

Próximo

LDAP