Gerenciamento de identidade e acesso do Amazon Web Services

Espaços reservados de código

Os exemplos de código nesta página usam os seguintes espaços reservados:

• <awsKeyId>: IDda chave de acesso do Amazon Web Services

• <atlasUri>: O endereço de rede da sua implantação do MongoDB Atlas

• <awsSecretKey>: Sua chave de acesso secreto Amazon Web Services

• <awsSessionToken>: Seu token de sessão do Amazon Web Services

• <hostname>: O nome do host da sua implantação do MongoDB Atlas

• <port>: A porta da sua implantação do MongoDB Atlas

Para usar os exemplos de código nesta página, substitua esses espaços reservados por seus próprios valores.

Usar o AWS SDK para Java

Você pode especificar suas credenciais usando v1 ou v2 do AWS SDK para Java, que oferece os seguintes recursos:

• Várias opções para obter credenciais

• Cache de credenciais que ajuda seu aplicativo a evitar limitação de taxa

• Gerenciamento de fornecedor de credencial para uso com o Serviço Elastic Kubernetes.

Para usar o AWS SDK para Java para autenticação MONGODB-AWS, você deve executar as seguintes ações:

1. Especifique o mecanismo de autenticação

2. Adicione o SDK como uma dependência ao seu projeto

3. Forneça suas credenciais usando um dos métodos na cadeia de fornecedores de credencial

Para especificar o mecanismo de autenticação usando uma MongoCredential, use o método de fábrica MongoCredential.createAwsCredential() e adicione a instância MongoCredential ao seu MongoClient, conforme mostrado no exemplo a seguir:

MongoCredential credential = MongoCredential.createAwsCredential(null, null);
// Creates a MongoClient that receives configuration information from a MongoCredential and environment variables
MongoClient mongoClient = MongoClients.create(
        MongoClientSettings.builder()
        .applyToClusterSettings(builder ->
        builder.hosts(Arrays.asList(new ServerAddress("<hostname>"))))
        .credential(credential)
        .build());

Para especificar o mecanismo de autenticação na connection string, adicione-o como um parâmetro, conforme mostrado no exemplo a seguir:

MongoClient mongoClient = MongoClients.create("mongodb://<atlasUri>?authMechanism=MONGODB-AWS");

Para adicionar a AWS SDK como uma dependência ao seu projeto, consulte a seguinte documentação da AWS para a versão necessária:

• Para o AWS SDK for Java v2, consulte a página de Configuração do guia.

• Para o AWS SDK for Java v1, consulte o Guia de Primeiros passos.

Para fornecer suas credenciais, consulte a seguinte documentação AWS para a versão que você precisa:

• Para saber mais sobre a classe AWS SDK para Java v2 que o driver usa para obter as credenciais, consulte a documentação da API DefaultCredentialsProvider.

  Saiba como fornecer suas credenciais a essa classe na seção Usar a cadeia de fornecedores de credenciais padrão.

• Para saber mais sobre a classe AWS SDK for Java v1 que o driver usa para obter as credenciais, consulte a documentação da API DefaultAWSCredentialsProviderChain.

  Saiba como fornecer suas credenciais a essa classe na seção Usar a cadeia de provedor de credenciais padrão.

Usar variáveis de ambiente

Você pode fornecer suas credenciais do AWS IAM instruindo o driver a usar o mecanismo de autenticação MONGODB-AWS e definindo as variáveis de ambiente apropriadas.

Para usar as variáveis de ambiente para fornecer suas credenciais, você deve executar as seguintes ações:

1. Especifique o mecanismo de autenticação

2. Adicione as variáveis de ambiente apropriadas

Você pode especificar o mecanismo de autenticação utilizando um MongoCredential ou na string de conexão.

Para especificar o mecanismo de autenticação usando uma MongoCredential, use o método de fábrica MongoCredential.createAwsCredential() e adicione a instância MongoCredential ao seu MongoClient, conforme mostrado no exemplo a seguir:

MongoCredential credential = MongoCredential.createAwsCredential(null, null);
// Creates a MongoClient that receives configuration information from a MongoCredential and environment variables
MongoClient mongoClient = MongoClients.create(
        MongoClientSettings.builder()
        .applyToClusterSettings(builder ->
        builder.hosts(Arrays.asList(new ServerAddress("<hostname>"))))
        .credential(credential)
        .build());

Para especificar o mecanismo de autenticação na connection string, adicione-o como um parâmetro, conforme mostrado no exemplo a seguir:

MongoClient mongoClient = MongoClients.create("mongodb://<atlasUri>?authMechanism=MONGODB-AWS");

Você também pode definir variáveis de ambiente para habilitar os seguintes tipos de autenticação:

• Chaves de acesso programático

• Fornecedor de identidade web

• Credenciais do container ECS

• Credenciais do container EC2

O exemplo a seguir mostra como você pode definir suas chaves de acesso programático em variáveis de ambiente usando bash ou um shell similar:

export AWS_ACCESS_KEY_ID=<awsKeyId>
export AWS_SECRET_ACCESS_KEY=<awsSecretKey>
export AWS_SESSION_TOKEN=<awsSessionToken>

Omita a linha que contém AWS_SESSION_TOKEN se não precisar de um token de sessão AWS para essa função.

Você pode usar um fornecedor de identidade da Web compatível com OpenID Connect (OIDC) para autenticar no Amazon Elastic Kubernetes Service (EKS) ou em outros serviços.

Para usar um fornecedor de identidade web, crie um arquivo que contenha seu token OIDC. Em seguida, use bash ou um shell semelhante para definir uma variável de ambiente para o caminho absoluto para esse arquivo, conforme mostrado no exemplo a seguir:

export AWS_WEB_IDENTITY_TOKEN_FILE=<absolute path to file containing your OIDC token>

Para autenticar usando credenciais de container do ECS, defina o URI relativo do ponto de extremidade do ECS em uma variável de ambiente usando bash ou um shell semelhante, conforme mostrado no exemplo a seguir:

export AWS_CONTAINER_CREDENTIALS_RELATIVE_URI=<your ECS endpoint>

Para autenticar usando credenciais de container EC2, certifique-se de que nenhuma das variáveis de ambiente mencionadas nesta seção esteja definida. O driver obtém as credenciais do endpoint de metadados de instância IPv4 EC2 padrão em vez de variáveis de ambiente.

Usar uma instância do MongoCredential

Você pode fornecer suas credenciais do AWS IAM para um MongoClient usando uma instância MongoCredential. Para construir a instância do MongoCredential para autenticação do MONGODB-AWS, utilize o método de fábrica do createAwsCredential().

Você pode fornecer somente chaves de acesso programáticas para o método MongoCredential.createAwsCredential(). Se você precisar fornecer credenciais de container ECS ou EC2, use as instruções nas seções Usar variáveis de ambiente ou Usar AWS SDK para Java.

Para usar o MongoCredential para autenticação do MONGODB-AWS, você deve executar as seguintes ações:

1. Especifique o mecanismo de autenticação

2. Fornecer as credenciais

Para especificar o mecanismo de autenticação usando uma MongoCredential, use o método de fábrica MongoCredential.createAwsCredential() e adicione a instância MongoCredential ao seu MongoClient, conforme mostrado no exemplo a seguir:

MongoCredential credential = MongoCredential.createAwsCredential("<awsKeyId>", "<awsSecretKey>".toCharArray());
// Creates a MongoClient that receives AWS credentials from the MongoCredential instance
MongoClient mongoClient = MongoClients.create(
        MongoClientSettings.builder()
        .applyToClusterSettings(builder ->
        builder.hosts(Arrays.asList(new ServerAddress("<hostname>"))))
        .credential(credential)
        .build());

Se você precisar especificar um token de sessão AWS, passe-o para o método withMechanismProperty() como mostrado no exemplo a seguir:

MongoCredential credential = MongoCredential.createAwsCredential("<awsKeyId>", "<awsSecretKey>".toCharArray()).withMechanismProperty("AWS_SESSION_TOKEN",  "<awsSessionToken>");
 // Creates a MongoClient that receives configuration information from a MongoCredential instance
MongoClient mongoClient = MongoClients.create(
        MongoClientSettings.builder()
        .applyToClusterSettings(builder ->
        builder.hosts(Arrays.asList(new ServerAddress("<hostname>"))))
        .credential(credential)
        .build());

Para atualizar suas credenciais, você pode declarar uma expressão lambda do Supplier que retorna novas credenciais como mostrado no seguinte exemplo:

Supplier<AwsCredential> awsFreshCredentialSupplier = () -> {
    // Add your code to fetch new credentials
    return new AwsCredential("<awsKeyId>", "<awsSecretKey>", "<awsSessionToken>");
};
// Creates a MongoCredential instance to specify the new AWS credentials
MongoCredential credential = MongoCredential.createAwsCredential(null, null)
        .withMechanismProperty(MongoCredential.AWS_CREDENTIAL_PROVIDER_KEY, awsFreshCredentialSupplier);
// Creates a MongoClient that receives new configuration information from a MongoCredential instance
MongoClient mongoClient = MongoClients.create(
        MongoClientSettings.builder()
        .applyToClusterSettings(builder ->
            builder.hosts(Collections.singletonList(new ServerAddress("<hostname>", <port>))))
        .credential(credential)
        .build());