Importante
Cada API de administración de Atlas tiene sus propios recursos y requiere una configuración inicial.
Puede acceder a los servidores de la API de administración de Atlas únicamente a través de la red pública de Internet. La API de administración de Atlas no está disponible en conexiones que utilicen peering de red o puntos finales privados.
Para aprender más, consulta Acceso programático de Atlas.
La API de administración de Atlas sigue los principios de la Estilo arquitectónico REST para exponer diversos recursos internos que permiten el acceso programático a las funciones administrativas de Atlas. Para obtener más información sobre la API de administración de Atlas, consulte la Referencia de la API de administración de Atlas.
La API de administración de Atlas no proporciona acceso a los datos almacenados en sus clústeres. Para leer o escribir datos en una base de datos, debe autenticarse en su clúster con las credenciales de un Usuario de base de datos con los roles de lectura o escritura adecuados. Puede usar la API de administración de Atlas para crear y administrar usuarios de base de datos.
Para usar la API de administración de Atlas para gestionar tus clústeres de Atlas, debes usar la autenticación de tus solicitudes de API con uno de los siguientes métodos de autenticación:
Tokens de acceso de cuenta de servicio (OAuth 2.0)
Claves API (Digest access authentication)
Para aprender sobre estos métodos, consulta Métodos de Autenticación de la API de Administración de Atlas.
Las siguientes secciones describen cómo usar cuentas de servicio y claves API para configurar el acceso programático a organizaciones y proyectos de Atlas.
Acceso requerido
Para crear una cuenta de servicio o claves API para una organización, debe tener Organization Owner acceso a esa organización.
Para otorgarle a una cuenta de servicio acceso a un proyecto, debe tener acceso a la organización propietaria del Organization Owner proyecto.
Para otorgar acceso a claves API a un proyecto, debe tener acceso para ese Project Owner proyecto.
Opcional: Requerir una lista de acceso IP para la API de administración de Atlas
Cuando creas una organización utilizando la interfaz de usuario de Atlas, Atlas activa por defecto la característica de lista de acceso IP de la API. Esto limita las solicitudes API únicamente a aquellas provenientes de las direcciones IP basadas en la ubicación o de las direcciones CIDR que especifiques en la lista de acceso IP. Si realizas una solicitud a la API de administración de Atlas sin una entrada en la lista de acceso IP, el servidor responde con un código de estado 403.
Si se desactiva la característica, se podrá realizar solicitudes de API desde cualquier dirección en Internet siempre que la lista de acceso IP esté vacía. Una vez que se agrega una entrada a la lista de acceso IP, solo las solicitudes que se originen en esa dirección IP podrán realizar solicitudes.
Nota
Las listas de acceso IP se aplican al uso de tokens de acceso a cuentas de servicio, no a su creación ni revocación. Puedes generar un token desde cualquier dirección IP, pero solo puedes usarlo para llamar a la API si tu dirección IP está en la lista de acceso.
Para establecer que la organización requiera listas de acceso IP para cada solicitud de la API de administración de Atlas después de la creación de la organización, se deben seguir estos pasos:
En Atlas, vaya a la Organization Settings página.
Si aún no se muestra, selecciona la organización deseada en el menú Organizations de la barra de navegación.
En la barra lateral, haga clic en Organization Settings.
Se muestra la página Configuración de la organización.
Otorgar acceso programático a Atlas
Puede otorgar acceso programático a una organización o proyecto utilizando uno de los dos métodos de autenticación siguientes:
Importante
Le recomendamos que utilice cuentas de servicio en lugar de claves API para autenticarse en la API de administración de Atlas. Las claves API son un método de autenticación heredado.
Cuenta de servicio (recomendado) | Claves API (heredadas) |
|---|---|
Nuevo método de autenticación en Atlas utilizando el protocolo estándar de la industria OAuth 2.0 con el flujo de credenciales del cliente. | Método heredado de autenticación en Atlas que utiliza autenticación HTTP Digest. |
Una cuenta de servicio le permite administrar permisos y crear tokens de acceso. Una cuenta de servicio tiene un ID de cliente y un secreto que funcionan como nombre de usuario y contraseña para crear tokens de acceso. Un token de acceso le permite realizar solicitudes de API a Atlas. | Las clavesAPI constan de dos partes: una clave pública y una clave privada. Estas dos partes cumplen la misma función que un nombre de usuario y una contraseña al realizar solicitudes API a Atlas. |
Tras crear una cuenta de servicio, usará su ID de cliente y su secreto para generar un token de acceso que autentica sus solicitudes a la API. Los tokens de acceso solo son válidos durante 1 horas (3600 segundos) según la 2.0 especificación OAuth. La expiración de los tokens de acceso previene ataques de repetición, donde un token de acceso filtrado podría usarse sin límite de tiempo. | Atlas crea un hash de la clave pública y la clave privada mediante un valor único llamado nonce. Este nonce solo es válido durante un breve periodo de tiempo, según la especificación de autenticación HTTP Digest. Esto sirve para evitar ataques de repetición, por lo que no se puede almacenar en caché un nonce y usarlo indefinidamente. |
Los roles de Atlas limitan las operaciones que una cuenta de servicio puede realizar con su token de acceso. Debe asignar roles a las cuentas de servicio como lo haría con los usuarios para garantizar que la cuenta de servicio genere tokens de acceso con los permisos necesarios para las llamadas a la API deseadas. | |
Cada cuenta de servicio pertenece a una sola organización y puede otorgar acceso a cualquier número de proyectos de dicha organización. Para otorgar acceso a una cuenta de servicio a nivel de organización a un proyecto, consulte Otorgar acceso a una cuenta de servicio existente a un proyecto. | Cada par de claves API pertenece a una sola organización y puede otorgar acceso a cualquier número de proyectos de dicha organización. Para otorgar acceso a un proyecto mediante claves API a nivel de organización, consulte Otorgar acceso a una cuenta de servicio existente a un proyecto. |
Atlas vincula muchos recursos a un proyecto. Muchas URL de recursos de API siguen el formato, | Atlas vincula muchos recursos a un proyecto. Muchas URL de recursos de API siguen el formato, |
No se puede usar una cuenta de servicio ni su token de acceso para iniciar sesión en Atlas a través de la interfaz de usuario de Atlas. Las cuentas de servicio solo otorgan acceso a la API de administración de Atlas, lo que no incluye el acceso a la interfaz de usuario ni a los datos del clúster. | No se pueden usar claves API para iniciar sesión en Atlas a través de la interfaz de usuario de Atlas. Las clavesAPI solo otorgan acceso a la API de administración de Atlas, que no incluye el acceso a la interfaz de usuario ni a los datos del clúster. |
Concede acceso programático a una organización
Utiliza los siguientes procedimientos para conceder acceso programático a una organización, ya sea a través de una cuenta de servicio o claves API. Para obtener más información sobre estos dos métodos de autenticación, consulta Métodos de Autenticación de la API de Administración de Atlas.
Otorgar acceso programático a un proyecto
Para obtener más información sobre estos dos métodos de autenticación, consulta Métodos de Autenticación de la API de Administración de Atlas.
Para otorgar acceso a claves API a un proyecto, debe tener Project Access Manager acceso o para ese proyecto.Project Owner
Agregar acceso al proyecto desde un proyecto
Si aún no has creado una cuenta de servicio o claves API para una organización, puedes crearlas para un proyecto y así concederle acceso a la API de administración de Atlas. La cuenta de servicio o las claves API que crees para un proyecto se agregarán automáticamente a la organización matriz con el permiso Organization Member.
Haz una API solicitud
La API de administración de Atlas utiliza uno de los dos métodos de autenticación para autenticar las solicitudes: cuenta de servicio o claves de API. Necesitarás las claves o el secreto que guardaste al configurar tu método de autenticación preferido para completar los siguientes procedimientos.
Todos los endpoints de la API de administración de Atlas tienen la siguiente URL base:
https://cloud.mongodb.com/api/atlas/<version>
Importante
MongoDB usa URL HTTPS para aumentar la seguridad. El uso de URL HTTP devolverá un código de estado 301.
Tip
Como alternativa, puedes utilizar cualquier herramienta que soporte la especificación OpenAPI v3 para generar muestras de código o servidores simulados. Por ejemplo, puedes importar la especificación de la API de administración de Atlas en Postman para generar comandos curl.
Advertencia
El uso de una URL HTTP con Postman devolverá un código de estado 301 como se esperaba. Sin embargo, en este escenario, Postman puede reintentar automáticamente la solicitud con HTTPS, pero al mismo tiempo eliminar el encabezado y el cuerpo de la solicitud de reintento. Esto devolverá un código de estado 401 en lugar de 301, lo que dificultará determinar por qué falló la solicitud.
Para utilizar Postman para generar comandos curl:
En la documentación de la API de administración de MongoDB Atlas,Download source haga clic en en la barra de navegación.
Próximos pasos
Para aprender más sobre la API de administración de Atlas, consulta la Referencia de la API de Administración de Atlas.
Para gestionar el acceso programático a la API de Administración de Atlas, consulte cualquiera de los siguientes procedimientos: