Importante
Recomendamos usar cuentas de servicio en lugar de API claves para autenticarse en la API de administración de Atlas. Las claves API son un método de autenticación heredado.
Para usar la API de administración de Atlas para administrar tus clústeres de Atlas, debes autenticar tus solicitudes de API. La API de administración de Atlas acepta los siguientes métodos de autenticación:
Tokens de acceso de cuenta de servicio (OAuth 2.0)
Claves API (Digest access authentication)
Para aprender a utilizar cuentas de servicio y claves API para configurar el acceso programático a tus organizaciones y proyectos de Atlas, consulta Guía de la API de Administración de Atlas para comenzar.
La API de administración de Atlas no proporciona acceso a los datos almacenados en tus clústeres. Para leer o escribir datos en una base de datos, debes autenticarte en tu clúster utilizando las credenciales de un usuario de base de datos con los roles de lectura o escritura adecuados. Puedes utilizar la API de administración de Atlas para crear y gestionar usuarios de base de datos.
Nota
Muchos URLs de endpoints de Atlas Administration API siguen el formato de
/api/atlas/<version>/groups/<GROUP-ID>/, donde <GROUP-ID> es tu ID del grupo. Para estos recursos, la cuenta de servicio o clave de API que utiliza para autenticar la solicitud debe ser un nodo de la organización que host el proyecto. De lo contrario, Atlas responde con un error 401.
Las siguientes secciones describen los métodos de autenticación de la API de Administración de Atlas:
Descripción General de las Cuentas de Servicio
Las cuentas de servicio son el método recomendado para gestionar la autenticación en la API de administración de Atlas. Las cuentas de servicio proporcionan una mayor seguridad que las claves de API utilizando el protocolo OAuth 2.0, que es el estándar de la industria, con el flujo de credenciales del cliente Flow de credenciales del cliente.
Una cuenta de servicio te permite gestionar permisos y crear tokens de acceso que autentican las solicitudes de API. Cada cuenta de servicio tiene una ID de cliente y un secreto que funcionan como un nombre de usuario y una contraseña para crear tokens de acceso. Para aprender a construir una solicitud de API con un token de acceso, consulta Realizar una solicitud de API.
Nota
Las listas de acceso IP se aplican específicamente al uso de los tokens de acceso de la cuenta de servicio, no a la la creación ni a la la revocación de los mismos. Puede generar un token desde cualquier dirección IP, pero solo se puede utilizar para llamar a la API si tu dirección IP está en la lista de acceso.
Los tokens de acceso solo són válidos durante 1 hora (3600 segundos) según la OAuth 2.0 especificación. Esta vida útil limitada protege contra ataques de repetición, situaciones en las que un atacante utiliza un token de acceso filtrado sin restricción temporal.
Cada cuenta de servicio pertenece exactamente a una organización, y se puede conceder acceso a cualquier cantidad de proyectos dentro de esa organización. Para conceder a una cuenta de servicio a nivel organizacional acceso a un proyecto, consulte Conceder Acceso a una Cuenta de Servicio Existente a un Proyecto.
Los roles de Atlas limitan con qué operaciones una cuenta de servicio puede autenticarse con su token de acceso. Debes asignar roles a las cuentas de servicio al igual que lo harías con los usuarios para garantizar que la cuenta de servicio genere tokens de acceso con los permisos necesarios para las llamadas a la API deseadas.
No puedes usar una cuenta de servicio ni su token de acceso para iniciar sesión en Atlas a través de la interfaz de usuario de Atlas. Las cuentas de servicio sólo conceden acceso a la API de administración de Atlas, que no incluye acceso a la Interfaz de Usuario (UI) ni acceso a los datos del clúster. Para obtener más información sobre las limitaciones de las cuentas de servicio, consulte Límites y umbrales de MongoDB.
Descripción general de claves API
Importante
Le recomendamos que utilice cuentas de servicio en lugar de claves API para autenticarse en la API de administración de Atlas. Las claves API son un método de autenticación heredado.
Las claves de API son un método heredado de autenticación para la API de administración de Atlas que utiliza Autenticación HTTP Digest.
Las claves API tienen dos partes: una clave pública y una clave privada. Estos cumplen la misma función que un nombre de usuario y una contraseña para autenticar solicitudes de API. Para aprender cómo construir una solicitud de API usando claves API, consulta Realizar una solicitud de API.
Atlas representa la llave pública y la llave privada utilizando un valor único llamado nonce. El nonce solo es válido durante un corto periodo de tiempo según la especificación de Autenticación HTTP Digest. Esta vida útil limitada protege contra ataques de reproducción, donde un atacante almacena en caché una clave privada para usarla sin restricción de tiempo.
Cada par de claves API pertenece a una sola organización y puede otorgar acceso a cualquier número de proyectos de dicha organización. Para otorgar acceso a un proyecto mediante claves API a nivel de organización, consulte Otorgar acceso a una cuenta de servicio existente a un proyecto.
Los roles de Atlas limitan las operaciones que pueden realizar las claves API. Debe asignar roles a las claves API como lo haría con los usuarios para garantizar que estas tengan los permisos necesarios para las llamadas API deseadas.
No se pueden usar claves API para iniciar sesión en Atlas a través de la interfaz de usuario de Atlas. Las clavesAPI solo otorgan acceso a la API de administración de Atlas, que no incluye el acceso a la interfaz de usuario ni a los datos del clúster.
Próximos pasos
Para aprender a usar y administrar cuentas de servicio y claves API, consulte los siguientes procedimientos: