Importante
Recomendamos usar cuentas de servicio en lugar de claves de API para autenticarse en la API de administración de Atlas. Las claves API son un método de autenticación heredado.
Para usar la API de administración de Atlas para gestionar tus clústeres de Atlas, debes autenticar tus solicitudes API. La API de administración de Atlas acepta los siguientes métodos de autenticación:
Tokens de acceso de cuenta de servicio (OAuth 2.0)
Claves API (Digest access authentication)
Para aprender a utilizar cuentas de servicio y API keys para configurar el acceso programático a sus organizaciones y proyectos de Atlas, consulte la Guía de comenzar de la API de Administración de Atlas.
La API de administración de Atlas no proporciona acceso a los datos almacenados en tus clústeres. Para leer o escribir datos en una base de datos, debes autenticarte en tu clúster utilizando las credenciales de un usuario de base de datos con los roles de lectura o escritura adecuados. Puedes utilizar la API de administración de Atlas para crear y gestionar usuarios de base de datos.
Nota
Muchos de los URL de endpoints de la API de administración de Atlas siguen el formato de /api/atlas/<version>/groups/<GROUP-ID>/, donde <GROUP-ID> es tu ID del grupo. Para estos recursos, la cuenta de servicio o las claves API que utilices para autenticar la solicitud deben ser los nodos de la organización que aloja el Proyecto. De lo contrario, Atlas responde con un error 401.
Las siguientes secciones describen los métodos de autenticación de la API de Administración de Atlas:
Descripción General de las Cuentas de Servicio
Las cuentas de servicio son el método recomendado para gestionar la autenticación en la API de administración de Atlas. Las cuentas de servicio ofrecen una seguridad mejorada en comparación con las claves de API mediante el uso del protocolo estándar de la industria OAuth 2.0 con el flujo de credenciales de cliente.
Una cuenta de servicio permite gestionar permisos y crear tokens de acceso que autentican las solicitudes API. Cada cuenta de servicio tiene un ID de cliente y una clave secreta que actúan como un nombre de usuario y una contraseña para crear tokens de acceso. Para saber cómo construir una solicitud API API con un token de acceso, consulta Realizar una solicitud API.
Nota
Las listas de acceso IP se aplican a los tokens de acceso de la cuenta de servicio que se están utilizando, y no a la creación ni a la revocación de estos. Puede generar un token desde cualquier dirección IP, pero solo puede usarlo para llamar a la API si su dirección IP está en la lista de acceso.
Los tokens de acceso solo són válidos durante 1 hora (3600 segundos) según la OAuth 2.0 especificación. Esta vida útil limitada protege contra ataques de repetición, situaciones en las que un atacante utiliza un token de acceso filtrado sin restricción temporal.
Cada cuenta de servicio pertenece exactamente a una organización, y se puede conceder acceso a cualquier cantidad de proyectos dentro de esa organización. Para conceder a una cuenta de servicio a nivel organizacional acceso a un proyecto, consulte Conceder Acceso a una Cuenta de Servicio Existente a un Proyecto.
Los roles de Atlas limitan con qué operaciones una cuenta de servicio puede autenticarse con su token de acceso. Debe asignar roles a las cuentas de servicio como lo haría para los usuarios para garantizar que la cuenta de servicio genere tokens de acceso con los permisos necesarios para las llamadas API deseadas.
No puedes usar una cuenta de servicio ni su token de acceso para iniciar sesión en Atlas a través de la interfaz de usuario de Atlas. Las cuentas de servicio sólo conceden acceso a la API de administración de Atlas, que no incluye acceso a la Interfaz de Usuario (UI) ni acceso a los datos del clúster. Para obtener más información sobre las limitaciones de las cuentas de servicio, consulte Límites y umbrales de MongoDB.
Descripción general de claves API
Importante
Recomendamos usar cuentas de servicio en lugar de claves de API para autenticarse en la API de administración de Atlas. Las claves API son un método de autenticación heredado.
Las claves de API son un método heredado de autenticación para la API de administración de Atlas que utiliza Autenticación HTTP Digest.
Las claves de API tienen dos partes: una llave pública y una llave privada. Estos sirven la misma función que un nombre de usuario y una contraseña para autenticar las solicitudes de la API. Para aprender a construir una solicitud de API usando claves de API, consulta Realizar una solicitud de API.
Atlas representa la llave pública y la llave privada utilizando un valor único llamado nonce. El nonce solo es válido durante un corto periodo de tiempo según la especificación de Autenticación HTTP Digest. Esta vida útil limitada protege contra ataques de reproducción, donde un atacante almacena en caché una clave privada para usarla sin restricción de tiempo.
Cada par de claves API pertenece solo a una organización y puede otorgar acceso a cualquier número de proyectos en esa organización. Para otorgar acceso a las claves API a nivel de organización a un proyecto, consulte Otorgar acceso a cuentas de servicio existentes a un proyecto.
Los roles de Atlas limitan las operaciones que las claves API pueden ejecutar. Debe asignar roles a las API keys como lo haría para los usuarios, para asegurar que las API keys tengan los permisos necesarios para las llamadas a la API que se desean.
No puedes usar claves de API para iniciar sesión en Atlas a través de la Interfaz de Usuario de Atlas. API keys solo otorgan acceso a la API de administración de Atlas, que no incluye el acceso a la interfaz de usuario ni a los datos del clúster.
Próximos pasos
Para aprender cómo usar y gestionar cuentas de servicio y API keys, consulta los siguientes procedimientos: