Atlas provides a system for managing user permissions at the organization, project, and database levels. Atlas Stream Processing extends this system with additional roles and privileges specific to stream processing tasks, as well as the ability to restrict user permissions to specific stream processing workspaces.
Organización y acceso al proyecto
Users manage stream processing workspaces and their associated connection registries at the project level. Atlas Stream Processing provides the Project Stream Processing Owner role for this purpose. A user with this role can perform any stream processing workspace or connection registry management action, and manage the databases and database users within the project. Assign this role to a user to enable them to perform all the actions necessary to configure an Atlas Stream Processing project without granting any unnecessary permissions to features in accordance with the principle of least privilege.
Si es necesario, puede realizar cualquiera de las acciones autorizadas por el rol Project Stream Processing Owner como usuario con el rol Project Owner o Organization Owner.
Acceso al espacio de trabajo de procesamiento de flujo
Puede acceder a un espacio de trabajo de procesamiento de flujos existente y administrar procesadores de flujos como usuario de base de datos, de forma similar a como accede a un clúster de Atlas. Los roles y las acciones asignados a los usuarios de su base de datos determinan qué operaciones pueden realizar en los procesadores de flujos dentro de un espacio de trabajo de procesamiento de flujos. Atlas Stream Processing ofrece las siguientes acciones de privilegio:
processStreamProcessorcreateStreamProcessorstartStreamProcessorstopStreamProcessordropStreamProcessorlistStreamProcessorssampleStreamProcessorstreamProcessorStatslistConnections
Puede asignar exactamente las acciones con privilegios que necesite a un usuario de base de datos o rol personalizado. Alternativamente, un usuario de base de datos con atlasAdmin o readWriteAnyDatabase puede realizar todas estas acciones.
Gestión de redes
Atlas Stream Processing supports connections to both Atlas clusters and external streaming data sources such as Apache Kafka. Connections within Atlas do not require manual configuration. To connect to an external streaming data source, you must add Atlas IP addresses to your external streaming data source's access list.
Para identificar las direcciones IP de Atlas necesarias, ejecute el siguiente comando:
curl -H 'Accept: application/vnd.atlas.2023-11-15+json' -s \ 'https://cloud.mongodb.com/api/atlas/v2/unauth/controlPlaneIPAddresses'
Esto devuelve una lista de direcciones IP de Atlas disponibles, agrupadas por proveedor y región. Identifique todas las direcciones IP salientes del par proveedor-región donde se implementa el espacio de trabajo de procesamiento de flujos de destino y agréguelas a la lista de acceso de su fuente de datos externa. Para obtener más información, consulte Permitir el acceso al plano de control de Atlas.
Al configurar una conexión a una fuente de datos de streaming externa, puede elegir entre acceder mediante direcciones IP públicas o mediante una conexión de peering de VPC. Para obtener más información, consulte Agregar una conexión al registro de conexiones.
Restricción del acceso a espacios de trabajo de procesamiento de flujo específicos
De forma predeterminada, un usuario con privilegios de Procesamiento de Flujos de Atlas puede realizar las operaciones asociadas en todos los espacios de trabajo de procesamiento de flujos. Puede restringir la aplicación de estos privilegios a espacios de trabajo de procesamiento de flujos específicos.
En Atlas, vaya a la Database & Network Access Página para su proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
La página Acceso a la base de datos y a la red se muestra.
Haga clic en Edit en la fila del usuario cuyos permisos desea modificar.
En la ventana modal, active el interruptor etiquetado Restrict Access to Specific Clusters /Federated Database Instances/Stream Processing Workspaces.
Busque los nombres de los espacios de trabajo de procesamiento de flujos para los que desea otorgar privilegios de usuario. Marque la casilla junto a un nombre para otorgar privilegios de usuario para ese espacio de trabajo de procesamiento de flujos. Desmarque la casilla para denegarlos.
Perfiles de ejecución
Puede configurar el rol de usuario de base de datos que utiliza al conectarse a una base de datos Atlas como receptor $source $merge o. Esto le permite evitar que los usuarios de bases de datos específicos de Atlas Stream Processing obtengan acceso indirecto al clúster que aloja dicha base de datos mediante las credenciales del usuario de Atlas con privilegios elevados que configura el espacio de trabajo de Stream Processing y sus conexiones.
Nota
De acuerdo con el principio del mínimo privilegio, defina un rol personalizado con solo aquellos privilegios que un usuario necesita para realizar las operaciones deseadas.
En Atlas, ve a la página Stream Processing de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Stream Processing en la sección Streaming Data.
Se muestra la página Procesamiento de transmisión.
En el panel del espacio de trabajo de procesamiento de flujo que desea configurar, haga clic en Manage.
Haga Connection Registry clic en la pestaña. En la fila de la conexión de base de datos Atlas que desea configurar, haga clic en.
En el menú desplegable Execute As, seleccione el rol que desea utilizar al conectarse a la base de datos.
Auditoría
La auditoría de Atlas Stream Processing permite a los administradores realizar un seguimiento de los eventos de autenticación y gestión de entidades en sus espacios de trabajo de procesamiento de flujos. Cada vez que se produce un evento auditable en un espacio de trabajo de procesamiento de flujos determinado, Atlas Stream Processing lo registra en el registro correspondiente. Un registro persiste durante la vida útil del espacio de trabajo de procesamiento de flujos al que pertenece, y Atlas Stream Processing nunca trunca los eventos antiguos. Si se elimina un espacio de trabajo de procesamiento de flujos, el registro correspondiente persiste durante 30 días adicionales.
Para descargar los registros de auditoría de su espacio de trabajo de procesamiento de flujos, consulte Descargar Registros de Auditoría.
Atlas Stream Processing admite la auditoría de los siguientes eventos de autenticación:
Evento | Descripción |
|---|---|
Autenticación exitosa | Se produce cuando un usuario se conecta correctamente a un espacio de trabajo de procesamiento de flujo |
Autenticación fallida | Se produce cuando un usuario no puede conectarse a un espacio de trabajo de procesamiento de flujo |
Terminación de la conexión | Ocurre cuando un usuario cierra su conexión. |
Atlas Stream Processing admite la auditoría de los siguientes eventos de gestión de entidades:
procesador de flujo de inicio | Se produce cuando un usuario inicia un procesador de flujo |
|---|---|
createStreamProcessor | Ocurre cuando un usuario crea un procesador de flujo |
detener el procesador de flujo | Se produce cuando un usuario detiene un procesador de flujo |
Procesador de flujo de caída | Se produce cuando un usuario elimina un procesador de flujo |
.process() | Se produce cuando un usuario emite una llamada .process() |
.muestra() | Se produce cuando un usuario emite una llamada .sample() |
Registro de auditoría accedido | Se produce cuando un usuario intenta descargar el registro de auditoría. |