Atlas proporciona un sistema para gestionar los permisos de usuario en el organización, proyecto, y base de datos levels. Atlas Stream Processing amplía este sistema con roles y privilegios adicionales específicos para tareas de procesamiento de streams, así como la capacidad de restringir los permisos de usuario a espacios de trabajo específicos de procesamiento de streams.
Acceso a la organización y al proyecto
Los usuarios gestionan los espacios de trabajo de stream processing y sus registros de conexión asociados a nivel de proyecto. Atlas Stream Processing proporciona Project Stream Processing Owner rol para este propósito. Un usuario con este rol puede realizar cualquier acción de stream processing workspace o gestión del registro de conexiones, y gestionar las bases de datos y los usuarios de la base de datos dentro del proyecto. Asigne este rol a un usuario para permitirle realizar todas las acciones necesarias para configurar un Proyecto de Atlas Stream Processing sin conceder ningún permiso innecesario para funcionalidades de acuerdo con el principio de mínimo privilegio.
Si es necesario, puede realizar cualquiera de las acciones autorizadas por el rol Project Stream Processing Owner como usuario con el rol Project Owner o Organization Owner.
Acceso al Área de Trabajo de Stream Processing
Puede acceder a un espacio de trabajo de procesamiento de flujos existente y administrar procesadores de flujos como usuario de base de datos, de forma similar a como accede a un clúster de Atlas. Los roles y las acciones asignados a los usuarios de su base de datos determinan qué operaciones pueden realizar en los procesadores de flujos dentro de un espacio de trabajo de procesamiento de flujos. Atlas Stream Processing ofrece las siguientes acciones de privilegio:
processStreamProcessorcreateStreamProcessorstartStreamProcessorstopStreamProcessordropStreamProcessorlistStreamProcessorssampleStreamProcessorstreamProcessorStatslistConnections
Puedes asignar exactamente aquellas acciones de privilegio a un usuario de base de datos o a un rol personalizado que necesites. Alternativamente, un usuario de base de datos con el atlasAdmin o readWriteAnyDatabase puede realizar todas estas acciones.
Gestión de redes
Atlas Stream Processing admite conexiones tanto a clústeres de Atlas como a fuentes de datos externas de transmisión, como Apache Kafka. Las conexiones dentro de Atlas no requieren configuración manual. Para conectarte a una fuente de datos de transmisión externa, debes agregar las direcciones IP de Atlas a la lista de acceso de tu fuente de datos de transmisión externa.
Para identificar las direcciones IP necesarias de Atlas, ejecute el siguiente comando:
curl -H 'Accept: application/vnd.atlas.2023-11-15+json' -s \ 'https://cloud.mongodb.com/api/atlas/v2/unauth/controlPlaneIPAddresses'
Esto devuelve una lista de direcciones IP de Atlas disponibles, agrupadas por proveedor y región. Identifica todas las direcciones IP salientes para el par proveedor-región en el que está implementado el espacio de trabajo de Stream Processing de destino y agrégalas a la lista de acceso de tu fuente de datos externa. Para obtener más información, consulte Permitir el acceso al Atlas Control Plane o desde él.
Al configurar una conexión a una fuente de datos de streaming externa, puede elegir entre acceder mediante direcciones IP públicas o mediante una conexión de peering de VPC. Para obtener más información, consulte Agregar una conexión al registro de conexiones.
Restricción del acceso a espacios de trabajo de procesamiento de flujo específicos
Por defecto, un usuario con privilegios de acciones de Stream Processing en Atlas puede realizar las operaciones asociadas en todos los espacios de trabajo de Stream Processing. Puede restringir la aplicación de estos privilegios a espacios de trabajo de Stream Processing específicos.
En Atlas, ve a Database & Network Access página para tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
La página Acceso a la base de datos y a la red se muestra.
Haz clic en Edit en la fila del usuario cuyas permisos deseas modificar.
En la ventana modal, activa el interruptor etiquetado como Restrict Access to Specific Clusters /Federated Database Instances/Stream Processing Workspaces.
Busque los nombres de los espacios de trabajo de procesamiento de flujos para los que desea otorgar privilegios de usuario. Marque la casilla junto a un nombre para otorgar privilegios de usuario para ese espacio de trabajo de procesamiento de flujos. Desmarque la casilla para denegarlos.
Perfiles de ejecución
Puede configurar el rol de usuario de base de datos que utiliza al conectarse a una base de datos Atlas como receptor $source $merge o. Esto le permite evitar que los usuarios de bases de datos específicos de Atlas Stream Processing obtengan acceso indirecto al clúster que aloja dicha base de datos mediante las credenciales del usuario de Atlas con privilegios elevados que configura el espacio de trabajo de Stream Processing y sus conexiones.
Nota
De acuerdo con el principio de mínimo privilegio, define un rol personalizado con solo aquellos privilegios que un usuario necesita para realizar las operaciones deseadas.
En Atlas, ve a la página Stream Processing de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Stream Processing en la sección Streaming Data.
Se muestra la página Stream Processing.
En el panel del espacio de trabajo de procesamiento de flujo que desea configurar, haga clic en Manage.
Haz clic en la pestaña Connection Registry. En la fila de la conexión a la base de datos Atlas que deseas configurar, haz clic en .
En el menú desplegable Execute As, seleccione el rol que desea utilizar al conectarse a la base de datos.
Auditoría
La auditoría de Atlas Stream Processing permite a los administradores rastrear la autenticación y los eventos de gestión de entidades en sus espacios de trabajo de procesamiento de flujos. Cada vez que ocurre un evento auditable en un espacio de trabajo de Stream Processing dado, Atlas Stream Processing escribe ese evento en el registro correspondiente a ese espacio de trabajo de Stream Processing. Un registro persiste durante toda la vida útil del espacio de trabajo de Stream Processing al que pertenece, y Atlas Stream Processing nunca trunca eventos antiguos. Si se borra un área de trabajo de Stream Processing, el registro que pertenece a esa área de trabajo de Stream Processing permanece durante 30 días adicionales.
Para descargar los registros de auditoría de su espacio de trabajo de procesamiento de flujos, consulte Descargar Registros de Auditoría.
Atlas Stream Processing admite la auditoría de los siguientes eventos de autenticación:
Evento | Descripción |
|---|---|
Autenticación exitosa | Ocurre cuando un usuario se conecta con éxito a un espacio de trabajo de Stream Processing |
Autenticación fallida | Ocurre cuando un usuario no logra conectarse a un espacio de trabajo de Stream Processing |
Terminación de la conexión | Se produce cuando un usuario cierra su conexión |
Atlas Stream Processing admite la auditoría de los siguientes eventos de gestión de entidades:
procesador de flujo de inicio | Se produce cuando un usuario inicia un procesador de flujo |
|---|---|
createStreamProcessor | Ocurre cuando un usuario crea un procesador de flujo |
stopStreamProcessor | Ocurre cuando una persona usuaria detiene un procesador de stream |
dropStreamProcessor | Ocurre cuando un usuario borra un procesador de flujo |
.process() | Se produce cuando un usuario emite una llamada .process() |
.sample() | Ocurre cuando un usuario emite un .sample() llamar |
Registro de auditoría accedido | Ocurre cuando un usuario intenta descargar el registro de auditoría |