Join us Sept 17 at .local NYC! Use code WEB50 to save 50% on tickets. Learn more >
MongoDB Event
Docs Menu
Docs Home
/
MongoDB Atlas
/
Atlas Architecture Center
/
セキュリティ
/
認可と認証

Atlas 認可に関するガイダンス

MongoDB Atlas は、リソースへの堅牢なアクセスを確保するためのさまざまな認可方法をサポートしています。 Atlas ではすべてのユーザーに認証が必要です。ユーザーが認証されると、認可によって、ユーザーのリソースへのアクセスが決定されます。

Atlas認可を実装する場合は、 ロールベースのアクセス制御(RBAC) を使用する必要があります。フェデレーティッド ID プロバイダーのユーザー グループを RBAC と併用すると、管理が簡素化されます。

次の推奨事項は、すべての 配置パラダイムのワークフォース(人間)ユーザーとワークロード(アプリケーション)ユーザーの両方に適用されます。

RBAC と事前定義されたロール

Atlas は、 ユーザー認可の管理を簡素化するために RBAC(Role-Based Access Control、ロールベースのアクセス制御) を使用します。 Atlas には、 UIと API を使用して Atlas を管理するために一般的に必要な特定のレベルのアクセスを提供する事前定義されたユーザー ロールが含まれています。管理を簡素化するために、ロールを IdP グループにマッピングできます。

Atlas クラスターへの接続には、きめ細かなカスタムデータベースロールを使用して、ロールがその機能を実行するために必要なアクセスに基づいて細かいスコープを提供します。このアプローチでは、最小特権の原則に従うことができます。

注意

必要最低限の RBAC ロールを割り当てて、常にアクセスを制限する必要があります。ドメイン制限も使用する必要があります。

割り当てることができるロールには、組織レベルとプロジェクトレベルの 2 つのレベルがあります。

組織レベルのロール

組織レベルのロールは、新しいプロジェクトの作成、IAM の管理、請求などのタスクを自動化するためにサービス アカウントによって使用されます。プラットフォームチームメンバーにも使用される場合があります。

  • Organization Owner ロールは、組織全体の設定を変更したり、構成を削除したりする能力があるため、厳しく制限し、単独の個人には割り当てません。このロールは、組織の初期設定と構成のためにのみ使用するサービスアカウントに割り当てる必要があります。初期作成後は、構成の変更を最小限に抑えてください。アカウントのロックアウトを回避するために、次の項目を作成できます。

    • Just-in-Timeアクセスを持つ SAML 組織オーナー グループ。

    • 組織所有者ロールを持つサービス アカウント。壊れた緊急事態で強力なアクセス管理を使用して、安全な場所に保管します。

  • Organization Member ロールは、組織の設定や構成を表示できる運用およびプラットフォーム チームの管理者向けである必要があります。

  • Organization Project Creator ロールは、開発チームと製品チームの新しいアプリケーションに代わってプロジェクトを作成するために使用されるプログラムによるサービス アカウントです。

  • Organization Billing Admin ロールは、請求APIからプログラムによって請求書を取得し、FinOps ツールに入力するために使用されるプログラムによるサービス アカウントです。このサービス アカウントは、使用状況の報告を担当するリンクされた組織すべてにアクセスできる必要があります。

プロジェクトレベルのロール

プロジェクト レベルのロールは、アプリケーション開発とメンテナンスを担当する開発チーム、テスト チーム、製品チームのロールです。組織レベルのロールと同様に、常に最小特権の原則に従う必要があります。例、Project Owner ロールは、 操作およびプロビジョニングチームによって強制されるガバナンスにのみ使用する必要があります。プロジェクト オーナーはクラスターを作成および削除できるため、サンドボックス環境で作業している場合を除き、このロールをプログラムによるサービス アカウントに割り当てる必要があります。

プロジェクト レベルのロールの詳細については、以下を参照してください。

フェデレーティッド IdP

Atlas を フェデレーティッドIdPと統合し、 IdPグループを Atlas ロールにマッピングして、インタイムプロビジョニングを使用できます。これによりアクセス管理が効率化され、プラットフォーム全体で安全で整理されたロール割り当てが保証されます。オーケストレーションレイヤーのプロビジョニングプロセスに基づいて、プログラム的にアクセス権を付与できます。

Azure Entra ID、Okta、Ping Identity など、SSO を提供する最新のフェデレーティッド ID プロバイダー(FIP)を使用する必要があります。これにより、認可プロセスの安全性が向上し、 IdP グループを Atlas ロールにプログラムで割り当てるために必要な柔軟性がサポートされます。会社のドメインへのアクセスを制限する必要があります。これにより、アクセスが許可されていないユーザーは Atlas にログインできなくなります。

フェデレーション IdP グループへのロールのマッピングの詳細については、「 ロール マッピング プロセス 」を参照してください。

ジャストインタイム アクセス

Atlas では、事前定義された 時間後に自動的に期限切れとなる一時データベースユーザーの作成もサポートされています。ユーザーは、6 時間、1 日、または 1 週にわたって作成できます。

詳細については、「データベースユーザーの設定」を参照してください。

認可の構成例については、「 認可 と 認証の例 」を参照してください。

戻る

認証

次へ

認証例

項目一覧