Menu Docs
Página inicial do Docs
/
MongoDB Atlas
/
Configure recursos de segurança
/
Acesso ao provedor de nuvem

Configurar acesso unificado à AWS

Nesta página

  • Visão geral
  • Acesso necessário
  • Pré-requisitos
  • Procedimento
  • Gerenciar funções do AWS IAM

Visão geral

Alguns recursos, como Data Federation e criptografia em repousa, autenticam com AWS IAM roles. Quando o Atlas acessa serviços AWS, ele assume um IAM role.

Você pode configurar uma função presumida do IAM para sua conta Atlas usar com a API de administração do Atlas ou a interface do usuário do Atlas se tiver a função Project Owner. O Atlas oferece suporte ao acesso unificado apenas para AWS.

Acesso necessário

Para configurar o acesso unificado da AWS, você deve ter acesso Organization Owner ou Project Owner ao projeto.

Pré-requisitos

Procedimento

1

Crie uma nova função AWS IAM no Atlas.

Para criar um papel AWS IAM utilizando o Atlas CLI, execute o seguinte comando:

atlas cloudProviders accessRoles aws create [options]

Para saber mais sobre a sintaxe e os parâmetros do comando, consulte a documentação do Atlas CLI para criar atlas cloudProviders accessRoles aws.

Dica

Veja: links relacionados

Salve os valores de campo AtlasAWSAccountArn e AtlasAssumedRoleExternalId retornados pelo comando para utilizar na próxima etapa.

2

Modifique sua política de confiança de role do AWS IAM.

  1. Faça login no Console de gerenciamento da AWS .

  2. Navegue até o serviço Identity and Access Management (IAM) .

  3. Selecione Roles na navegação do lado esquerdo.

  4. Clique no papel IAM existente que você deseja utilizar para acesso do Atlas a partir da lista de papéis.

  5. Selecione a guia Trust Relationships.

  6. Clique no botão Edit trust relationship.

  7. Edite o Policy Document. Adicione um novo objeto Statement com o seguinte conteúdo.

    Observação

    Substitua as linhas destacadas por valores gerados na etapa anterior.

    {
       "Version":"2012-10-17",
       "Statement":[
          {
             "Effect":"Allow",
             "Principal":{
                "AWS":"<atlasAWSAccountArn>"
             },
             "Action":"sts:AssumeRole",
             "Condition":{
                "StringEquals":{
                   "sts:ExternalId":"<atlasAssumedRoleExternalId>"
                }
             }
          }
       ]
    }

  8. Clique no botão Update Trust Policy.

3

Autorize a nova função IAM.

Para autorizar uma AWS IAM role utilizando o Atlas CLI, execute o seguinte comando:

atlas cloudProviders accessRoles aws authorize <roleId> [options]

Para saber mais sobre a sintaxe e os parâmetros do comando, consulte a documentação do Atlas CLI para autorizar atlas cloudProviders accessRoles aws.

Se o comando for bem-sucedido, você poderá usar o valor do RoleID ao configurar serviços do Atlas que utilizam AWS.

1

Envie uma solicitação POST para o ponto de extremidade cloudProviderAccess .

Use o ponto de extremidade da API para criar um novo papel IAM do AWS. O Atlas usará esse papel para autenticação com sua conta do AWS.

Mantenha os valores de campo retornados atlasAWSAccountArn e atlasAssumedRoleExternalId perto para uso na próxima etapa.

2

Modifique sua política de confiança de role do AWS IAM.

  1. Faça login no Console de gerenciamento da AWS .

  2. Navegue até o serviço de Identity and Access Management (IAM).

  3. Selecione Roles na navegação do lado esquerdo.

  4. Clique no papel IAM existente que você deseja utilizar para acesso do Atlas a partir da lista de papéis.

  5. Selecione a guia Trust Relationships.

  6. Clique no botão Edit trust relationship.

  7. Edite o Policy Document. Adicione um novo objeto Statement com o seguinte conteúdo.

    Observação

    Substitua as linhas destacadas por valores gerados na etapa anterior.

    {
       "Version":"2012-10-17",
       "Statement":[
          {
             "Effect":"Allow",
             "Principal":{
                "AWS":"<atlasAWSAccountArn>"
             },
             "Action":"sts:AssumeRole",
             "Condition":{
                "StringEquals":{
                   "sts:ExternalId":"<atlasAssumedRoleExternalId>"
                }
             }
          }
       ]
    }

  8. Clique no botão Update Trust Policy.

3

Autorize a função do IAM recém-criada.

Use o endpoint da API para autorizar e configurar o novo IAM Assumed Role ARN. Se a chamada da API for bem-sucedida, você pode usar o valor roleId ao configurar serviços do Atlas que utilizam AWS.

Comece o procedimento de configuração para acesso AWS IAM

1

No Atlas, acesse a página Project Integrations.

  1. Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.

  3. Ao lado do menu Projects, expanda o menu Options e clique em Integrations.

    A página Integrações de projeto é exibida.

2

Configure o acesso IAM da AWS.

  1. Clique no botão Configure no painel AWS IAM Role Access.

    Observação

    Se você já tem uma ou mais funções configuradas, o botão diz Edit.

  2. Clique no botão Authorize an AWS IAM Role.

  3. Leia as instruções Overview e clique em Next.

  4. Se desejar criar uma nova função AWS IAM para uso com o Atlas, use o procedimento Criar nova função com o AWS CLI. Se você tiver uma função AWS IAM existente que deseja autorizar para o Atlas, use o procedimento Adicionar relacionamentos de confiança a uma função existente.

Crie uma nova função com o AWS CLI

  1. Clique em Create New Role with the AWS CLI para expandir a próxima seção.

  2. Copie o texto JSON e salve-o em um arquivo intitulado role-trust-policy.json.

  3. Insira um nome para sua nova função AWS IAM na caixa de texto.

  4. Se você ainda não tiver o AWS Command Line Interface (CLI) instalado, consulte a documentação. Se você tiver o AWS CLI instalado, prossiga para a próxima etapa.

  5. Copie o comando CLI e cole no prompt de comando.

  6. Se bem-sucedido, o comando CLI retornará um documento JSON com informações sobre a função recém-criada do AWS IAM. Localize o campo chamado Arn e copie-o para a caixa de texto rotulada Enter the Role ARN na janela modal do Atlas.

  7. Clique em Validate and Finish.

Adicionar relações de confiança a uma função existente

  1. Clique em Add Trust Relationships to an Existing Role para expandir a próxima seção.

  2. Copie o texto da relação de confiança JSON.

  3. No seu console da web do AWS, navegue até a seção Roles do painel do IAM.

  4. Clique na função que deseja autorizar.

  5. Selecione a guia Trust relationships.

  6. Clique no botão Edit trust relationship.

  7. Substitua o texto existente pelo texto JSON copiado na etapa 2.

  8. Clique em Update Trust Policy.

  9. Copie a função ARN e cole-o na janela modal do Atlas, na caixa de texto denominada Enter the Role ARN.

  10. Clique em Validate and Finish.

Retomar um procedimento de autorização

Se você cancelar um procedimento para autorizar uma função AWS IAM para utilizar com Atlas, você poderá retomá-la de onde parou.

1

No Atlas, acesse a página Project Integrations.

  1. Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.

  3. Ao lado do menu Projects, expanda o menu Options e clique em Integrations.

    A página Integrações de projeto é exibida.

2

Retomar autorização.

  1. Clique no botão Configure no painel AWS IAM Role Access.

    Observação

    Se você já tem uma ou mais funções configuradas, o botão diz Edit.

  2. Quaisquer funções com um procedimento de autorização contínuo são listadas com um status in progress. Clique no botão Resume para retomar o processo de autorização.

    Para cancelar completamente uma autorização de função em andamento, clique no ícone Delete ao lado da função em andamento.

Desautorizar uma função IAM presumida

Você pode desautorizar uma função do AWS IAM existente em sua conta do Atlas com a API de administração do Atlas ou a interface do usuário do Atlas.

Observação

Certifique-se de remover quaisquer serviços de Atlas associados do papel IAM antes de desautorizá-lo.

Para desautorizar uma AWS IAM role utilizando o Atlas CLI, execute o seguinte comando:

atlas cloudProviders accessRoles aws deauthorize <roleId> [options]

Para saber mais sobre a sintaxe e os parâmetros do comando, consulte a documentação do Atlas CLI para desautorizar atlas cloudProviders accessRoles aws.

Dica

Veja: links relacionados

Use o endpoint da API DELETE descrito na documentação da API.

1

No Atlas, acesse a página Project Integrations.

  1. Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.

  3. Ao lado do menu Projects, expanda o menu Options e clique em Integrations.

    A página Integrações de projeto é exibida.

2

Desautorize a função IAM presumida.

  1. Clique no botão Edit no painel AWS IAM Role Access.

  2. Clique no botão Delete próximo à função do IAM que você deseja desautorizar.

Gerenciar funções do AWS IAM

Para autorizar uma AWS IAM role utilizando o Atlas CLI, execute o seguinte comando:

atlas cloudProviders accessRoles aws authorize <roleId> [options]

Para saber mais sobre a sintaxe e os parâmetros do comando, consulte a documentação do Atlas CLI para autorizar atlas cloudProviders accessRoles aws.

Você pode gerenciar as funções da AWS IAM usando a API.

Para navegar até a tela AWS IAM Role Access do Atlas:

1

No Atlas, acesse a página Project Integrations.

  1. Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.

  3. Ao lado do menu Projects, expanda o menu Options e clique em Integrations.

    A página Integrações de projeto é exibida.

2

Configure o AWS IAM Role Access no Atlas.

Clique no botão Configure no painel AWS IAM Role Access.

Observação

Se você já tem uma ou mais funções configuradas, o botão diz Edit.

Você pode executar as seguintes ações na tela AWS IAM Role Access do Atlas:

  • Veja a lista de funções autorizadas do AWS IAM.

    A lista de funções exibe o ARN da função, seu tempo de criação e todos os serviços do Atlas configurados para usar a função.

  • Autorize uma função do AWS IAM.

    Clique no botão Authorize an AWS IAM Role.

    Observação

    Se você tiver uma autorização em andamento, a função associada terá um botão Resume ao lado.

    Para obter instruções detalhadas, consulte Configurar o acesso unificado ao AWS.

  • Desautorizar uma função AWS IAM.

    Clique no botão Delete ao lado da função.

    Observação

    Certifique-se de remover quaisquer serviços de Atlas associados do papel IAM antes de desautorizá-lo.

  • Veja os detalhes de uma função do AWS IAM.

    Clique no ícone de reticências (...) ao lado da função e selecione View Role Details.

Voltar

Acesso ao provedor de nuvem

Próximo

Serviço Azure