O Atlas só permite conexões de cliente com o cluster a partir de entradas na lista de acesso IP do projeto. Cada entrada é um único endereço IP ou um intervalo de endereços com anotação CIDR. Para clusters with AWS com uma ou mais conexões of VPC Peering para a mesma região of AWS, você pode especificar um grupo de segurança associado a uma peered VPC.
Observação
O Modelo de responsabilidade compartilhada do MongoDB Atlas define os direitos complementares do MongoDB e de seus clientes em manter um ambiente de dados seguro e resiliente. Nesse framework, o MongoDB gerencia a segurança e a integridade operacional da plataforma subjacente, enquanto os clientes são responsáveis pelas políticas de configuração, gerenciamento e dados de suas implantações específicas. Para obter uma análise detalhada da propriedade em segurança e segurança operacional, consulte Modelo de responsabilidade compartilhada.
Para clusters Atlas implementados na Google Cloud Platform (GCP) ou no Microsoft Azure, adicione os endereços IP dos seus serviços Google Cloud ou Azure à lista de acesso de IP do projeto Atlas para conceder a esses serviços acesso ao cluster.
A lista de acesso IP se aplica a todos os clusters do projeto e pode ter até 200 entradas da lista de acesso IP, com a seguinte exceção: projetos com um cluster fragmentado existente criado antes 25 de agosto de 2017 podem ter até 100 entradas da lista de acesso IP.
O Atlas permite a criação de entradas temporárias da lista de acesso IP que expiram em um período de 7 dias que pode ser configurado pelo usuário.
Observação
Para restringir o acesso à IU do MongoDB Atlas para endereços IP específicos, defina a lista de acesso IP para restringir o acesso à interface de gerenciamento da sua organização Atlas apenas aos endereços IP ou faixas CIDR que você especificar explicitamente. Embora você não possa definir uma lista de acesso IP para bloquear o acesso à IU do Atlas, a lista de acesso IP da IU fornece essa funcionalidade. Além da lista de acesso IP da IU, você pode bloquear o acesso à IU do Atlas com suas políticas de autenticação do provedor de identidade usando a autenticação federado do Atlas.
Quando você cria, exclui ou altera entradas temporárias e não temporárias da lista de acesso IP, o Atlas notifica você sobre esses eventos no Activity Feed do projeto. Por exemplo, se você modificar o endereço de uma entrada da lista de acesso IP, o Feed de atividades registrará a exclusão da entrada antiga e a criação da nova entrada.
Ver feed de atividades
Para visualizar o Feed de atividades do projeto:
No Atlas, vá para a página Project Settings.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Na barra lateral, clique no ícone ao lado de Project Overview.
A página Configurações do projeto é exibida.
No Atlas, vá para a página Project Activity Feed.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Na barra lateral, clique em Activity Feed abaixo do cabeçalho Security.
A página Feed de atividades do projeto é exibida.
Consulte também Visualizar todas as atividades.
Observação
Considerações sobre feed de atividades
O Atlas não registra atualizações no comentário da entrada da lista de acesso IP no feed de atividades.
Quando o endereço de uma entrada da lista de acesso IP é modificada, a lista de atividades registra duas novas atividades: uma para a exclusão da entrada antiga e outra para a criação da nova entrada.
Acesso necessário
Para gerenciar entradas de lista de acesso IP, você deve ter acesso Project Owner ou Project Network Access Manager ao projeto.
Os usuários com acesso Organization Owner devem se adicionar ao projeto como um Project Owner.
Visualizar entradas da lista de acesso IP
Para listar as entradas da lista de acesso IP para o seu projeto com o Atlas CLI, execute o seguinte comando:
atlas accessLists list [options]
Para retornar os detalhes da entrada da lista de acesso IP especificada usando o Atlas CLI, execute o seguinte comando:
atlas accessLists describe <entry> [options]
Para mais informações sobre a sintaxe e os parâmetros dos comandos anteriores, consulte a documentação do Atlas CLI sobre atlas dbusers list e atlas dbusers describe.
No Atlas, vá para a página Database & Network Access do seu projeto.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Database & Network Access sob o título Security.
A página Acesso ao banco de dados e à rede é exibida.
Clique na IP Access List aba.
Endereço IP | Endereço IP ou bloco CIDR. Se esse cluster estiver hospedado na AWS, você também poderá fornecer um ID de grupo de segurança da AWS. | ||||||||||||
Comment | Descrição ou outras informações sobre a entrada da lista de acesso. | ||||||||||||
Status | Status da entrada da lista de acesso IP:
| ||||||||||||
Ações |
Adicionar entradas da lista de acesso IP
Para criar uma lista de acesso IP para seu projeto utilizando o Atlas CLI, execute o seguinte comando:
atlas accessLists create [entry] [options]
Para saber mais sobre a sintaxe e os parâmetros do comando, consulte a documentação do Atlas CLI para atlas accessLists create.
Você pode usar a API de administração do Atlas para adicionar entradas de lista de acesso IP existentes.
No Atlas, vá para a página Database & Network Access do seu projeto.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Database & Network Access sob o título Security.
A página Acesso ao banco de dados e à rede é exibida.
Insira um endereço IP, bloco CIDR ou ID do grupo de segurança.
Importante
É importante que você adicione o endereço IP que você usará para acessar o MongoDB como o usuário admin.
Aviso
Adicionar o CIDR 0.0.0.0/0 permite o acesso de qualquer lugar. Essa configuração pode expor sua implantação ao acesso não autorizado, exfiltração de dados e outras atividades maliciosas. Restrinja o acesso a endereços IP confiáveis ou faixas CIDR sempre que possível, e use credenciais fortes para todos os usuários do banco de dados ao permitir o acesso da Internet pública.
Digite o endereço IP desejado ou o intervalo de endereços usando a notação CIDR:
Entrada | Resultados |
|---|---|
Um endereço IP | Acesso a partir deste endereço. |
Um intervalo de endereços IP com notação CIDR | Acesso a partir do intervalo designado de endereços. Para conexões VPC ponto a ponto, você pode especificar o bloco CIDR (ou um subconjunto) ou o grupo de segurança associado. A internet oferece ferramentas online para converter um intervalo de endereços IP em CIDR, como http://www.ipaddressguide.com/cidr. |
ID do grupo de segurança (somente AWS) | Acesso por meio da associação ao grupo de segurança de uma VPC com emparelhamento. IMPORTANTE: o Atlas não permite a adição de grupos de segurança Amazon Web Services a listas de acesso IP em projetos com conexões de emparelhamento de VPC em várias regiões. |
Se você adicionar o CIDR 0.0.0.0/0 a uma lista de acesso ao projeto, o Atlas enviará um e-mail de alerta para todos os usuários que receberam uma função diretamente no projeto ou receberam uma função indiretamente por meio da associação da equipe (se a equipe receber uma função no projeto).
Aviso
Adicionar o CIDR 0.0.0.0/0 permite o acesso de qualquer lugar. Essa configuração pode expor sua implantação ao acesso não autorizado, exfiltração de dados e outras atividades maliciosas. Restrinja o acesso a endereços IP confiáveis ou faixas CIDR sempre que possível, e use credenciais fortes para todos os usuários do banco de dados ao permitir o acesso da Internet pública.
(Opcional) Defina a lista de acesso IP como temporária.
Marque a opção Save as temporary access list para especificar por quanto tempo o endereço IP será adicionado. Após esse período, o Atlas remove o endereço da lista de acesso IP. Você pode selecionar um dos seguintes períodos para o endereço ser adicionado:
6 horas
1 dia
1 semana
No modo de exibição IP Access List, as entradas na lista de acesso temporário mostram quanto tempo falta para o endereço expirar. Após a expiração e exclusão do endereço IP, qualquer cliente ou aplicativo que tente se conectar ao cluster usando esse endereço não conseguirá acessar o cluster.
Observação
Não é possível definir grupos de segurança AWS como entradas de lista de acesso temporário.
Modificar entradas da lista de acesso IP
Não é possível modificar as entradas da lista de acesso IP com o Atlas CLI. Selecione outra interface para saber como modificar as entradas da lista de acesso IP.
Você pode usar a Administration API do Atlas para modificar as entradas existentes da lista de acesso IP.
No Atlas, vá para a página Database & Network Access do seu projeto.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Database & Network Access sob o título Security.
A página Acesso ao banco de dados e à rede é exibida.
Editar a entrada da lista de acesso IP de destino
Clique em Edit para a entrada que você deseja modificar.
Você pode modificar o endereço IP ou o bloco CIDR da entrada e o comentário associado à entrada. Se a lista de acesso IP for adicionada temporariamente, o Atlas exibirá o tempo restante até remover a lista de acesso IP e uma lista suspensa para modificar a duração da lista de acesso IP ou convertê-la em uma entrada permanente.
Observação
Não é possível alterar uma entrada de lista de acesso IP de permanente para temporária.
Excluir entradas da lista de acesso IP
Importante
Quando se remove uma entrada da lista de acesso IP, as atuais conexões dos endereços removidos podem permanecer abertas por um período de tempo variável. O tempo que o Atlas demora para fechar a conexão depende de vários fatores, entre eles:
como a conexão foi estabelecida
como o aplicativo ou driver que usa o endereço se comporta
o protocolo (por exemplo, TCP ou UDP) que a conexão utiliza
Para excluir uma lista de acesso IP do seu projeto usando o Atlas CLI, execute o seguinte comando:
atlas accessLists delete <entry> [options]
Para saber mais sobre a sintaxe e os parâmetros do comando, consulte a documentação do Atlas CLI para exclusão de accessLists do Atlas.
Você pode usar a API de administração do Atlas para excluir usuários existentes.
No Atlas, vá para a página Database & Network Access do seu projeto.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Database & Network Access sob o título Security.
A página Acesso ao banco de dados e à rede é exibida.