セキュリティ

組織とプロジェクトのアクセス

ユーザーは、ストリーム処理ワークスペースとそれに関連する接続レジストリをプロジェクトレベルで管理します。 Atlas Stream ProcessingProject Stream Processing Owner では、この目的で ロールが提供されています。このロールを持つユーザーは、任意のストリーム処理ワークスペースまたは接続レジストリ管理アクションを実行し、プロジェクト内のデータベースとデータベースユーザーを管理できます。このロールをユーザーに割り当てて、最小特権の原則に従って機能に不要な権限を付与することなく、Atlas Stream Processingプロジェクトを構成するために必要なすべてのアクションを実行できるようにします。

必要に応じて、Project Stream Processing Owner ロールまたは ロールのいずれかを持つユーザーとして、Project Owner Organization Ownerロールで認可されたアクションを実行できます。

Atlas Stream Processing ワークスペースのアクセス

Atlas クラスターにアクセスする方法と同様に、既存のストリーム処理ワークスペースにアクセスし、ストリーム プロセッサをデータベースユーザーとして管理できます。データベースユーザーに割り当てられたロールとアクションによって、ストリーム処理ワークスペース内のストリームプロセッサで実行できる操作が決まります。 Atlas Stream Processing では、次の特権アクションが提供されます。

• processStreamProcessor

• createStreamProcessor

• startStreamProcessor

• stopStreamProcessor

• dropStreamProcessor

• listStreamProcessors

• sampleStreamProcessor

• streamProcessorStats

• listConnections

必要なデータベースユーザーまたはカスタムロールに正確にそれらの特権アクションを割り当てることができます。 あるいは、 atlasAdminまたはreadWriteAnyDatabaseを持つデータベースユーザーは、これらのアクションをすべて実行できます。

curl -H 'Accept: application/vnd.atlas.2023-11-15+json' -s \
'https://cloud.mongodb.com/api/atlas/v2/unauth/controlPlaneIPAddresses'

実行プロファイル

Atlasデータベースに接続するときに使用するデータベースユーザーロールを、$source または$merge シンクのいずれかとして構成できます。これにより、Atlas Stream Processing 固有のデータベースユーザーが、ストリーム処理ワークスペースとその接続を構成する昇格特権 Atlas ユーザーの認証情報を介して、そのデータベースをホストしているクラスターに間接的にアクセスするのを防ぐことができます。

監査

Atlas Stream Processing の監査により、管理者はストリーム処理ワークスペースで認証とエンティティ マネジメントのイベントを追跡できます。特定のストリーム処理ワークスペースで監査可能なイベントが発生するたびに、Atlas Stream Processing はそのイベントをそのストリーム処理ワークスペースのログに書込みます。は、それが属するストリーム処理ワークスペースの有効期間にわたってログを保持し、Atlas Stream Processing が古いイベントを切り捨てることはありません。ストリーム処理ワークスペースを削除すると、そのストリーム処理ワークスペースに属するログはさらに 30 日間保持されます。

ストリーム処理ワークスペースの監査するログをダウンロードするには、 「 監査ログのダウンロード 」を参照してください。

Atlas Stream Processing は、次の認証イベントの監査をサポートしています。

Atlas Stream Processing は、次のエンティティ マネジメント イベントの監査をサポートしています。