Importante
Le recomendamos que utilice cuentas de servicio en lugar de Claves API para autenticarse en la API de administración de Atlas. Las clavesAPI son un método de autenticación heredado.
Para usar la API de administración de Atlas y administrar sus clústeres, debe autenticar sus solicitudes. La API de administración de Atlas acepta los siguientes métodos de autenticación:
Tokens de acceso a la cuenta de servicio (OAuth 2.0)
Claves API (Digest access authentication)
Para aprender a usar cuentas de servicio y claves API para configurar el acceso programático a sus organizaciones y proyectos de Atlas, consulte la Guíade introducción a la API de administración de Atlas.
La API de administración de Atlas no proporciona acceso a los datos almacenados en tus clústeres. Para leer o escribir datos en una base de datos, debes autenticarte en tu clúster utilizando las credenciales de un usuario de base de datos con los roles de lectura o escritura adecuados. Puedes utilizar la API de administración de Atlas para crear y gestionar usuarios de base de datos.
Nota
Muchas URL de puntos finales de la API de administración de Atlas siguen el formato de
/api/atlas/<version>/groups/<GROUP-ID>/, donde <GROUP-ID> es el ID de su proyecto. Para estos recursos, la cuenta de servicio o las claves API que utilice para autenticar la solicitud deben pertenecer a la organización que aloja el proyecto. De lo contrario, Atlas responderá con un 401 error.
Las siguientes secciones describen los métodos de autenticación de la API de administración de Atlas:
Descripción general de las cuentas de servicio
Las cuentas de servicio son el método recomendado para gestionar la autenticación en la API de Administración de Atlas. Ofrecen mayor seguridad con respecto a las claves de API mediante el protocolo OAuth,2.0 estándar del sector, con el flujo de credenciales de cliente.
Una cuenta de servicio permite administrar permisos y crear tokens de acceso que autentican las solicitudes de API. Cada cuenta de servicio tiene un ID de cliente y un secreto que funcionan como nombre de usuario y contraseña para crear tokens de acceso. Para aprender a crear una solicitud de API con un token de acceso, consulte Realizar una solicitud de API.
Nota
Las listas de acceso IP se aplican al uso de tokens de acceso a cuentas de servicio, no a su creación ni revocación. Puedes generar un token desde cualquier dirección IP, pero solo puedes usarlo para llamar a la API si tu dirección IP está en la lista de acceso.
Los tokens de acceso solo son válidos durante 1 horas (3600 segundos) según la especificación OAuth. Esta duración limitada protege contra ataques de repetición, donde un atacante utiliza un token de acceso filtrado sin límite de 2.0 tiempo.
Cada cuenta de servicio pertenece a una sola organización y puede otorgarle acceso a cualquier número de proyectos dentro de ella. Para otorgar acceso a una cuenta de servicio a nivel de organización a un proyecto, consulte Otorgar acceso a una cuenta de servicio existente a un proyecto.
Los roles de Atlas limitan las operaciones que una cuenta de servicio puede autenticar con su token de acceso. Debe asignar roles a las cuentas de servicio como lo haría con los usuarios para garantizar que la cuenta de servicio genere tokens de acceso con los permisos necesarios para las llamadas a la API deseadas.
No se puede usar una cuenta de servicio ni su token de acceso para iniciar sesión en Atlas a través de la interfaz de usuario de Atlas. Las cuentas de servicio solo otorgan acceso a la API de administración de Atlas, lo que no incluye el acceso a la interfaz de usuario ni a los datos del clúster. Para obtener más información sobre las limitaciones de las cuentas de servicio, consulte Límites y umbrales de MongoDB.
Descripción general de las claves API
Importante
Le recomendamos que utilice cuentas de servicio en lugar de claves API para autenticarse en la API de administración de Atlas. Las claves API son un método de autenticación heredado.
Las claves API son un método heredado de autenticación en la API de administración de Atlas que utiliza autenticación HTTP Digest.
Las claves API constan de dos partes: una clave pública y una clave privada. Estas cumplen la misma función que un nombre de usuario y una contraseña para autenticar las solicitudes API. Para aprender a crear una solicitud API con claves API, consulte "Realizar una solicitud API".
Atlas crea un hash de la clave pública y la clave privada mediante un valor único llamado nonce. Este nonce solo es válido durante un breve periodo de tiempo, según la especificación de autenticación HTTP Digest. Esta vida útil limitada protege contra ataques de repetición, en los que un atacante almacena en caché una clave privada para usarla sin límite de tiempo.
Cada par de claves API pertenece a una sola organización y puede otorgar acceso a cualquier número de proyectos de dicha organización. Para otorgar acceso a un proyecto mediante claves API a nivel de organización, consulte Otorgar acceso a una cuenta de servicio existente a un proyecto.
Los roles de Atlas limitan las operaciones que pueden realizar las claves API. Debe asignar roles a las claves API como lo haría con los usuarios para garantizar que estas tengan los permisos necesarios para las llamadas API deseadas.
No se pueden usar claves API para iniciar sesión en Atlas a través de la interfaz de usuario de Atlas. Las clavesAPI solo otorgan acceso a la API de administración de Atlas, que no incluye el acceso a la interfaz de usuario ni a los datos del clúster.
Próximos pasos
Para aprender a usar y administrar cuentas de servicio y claves API, consulte los siguientes procedimientos: