データベースユーザーを作成して、クライアントがプロジェクト内のクラスターにアクセスできるようにします。
注意
MongoDB Atlas共有責任モデルは、安全で回復力のあるデータ環境を維持するためのMongoDBとそのカスタマーの補完的な役割を定義します。このフレームワークの下、 MongoDB は基礎のプラットフォームのセキュリティと運用上の整合性を管理しますが、カスタマーは特定の配置の構成、管理、データ ポリシーに責任を負います。所有者のセキュリティと運用の優れ性の詳細な内訳については、共有責任モデルを参照してください。
データベースユーザーのアクセスは、ユーザーに割り当てられたロールによって決まります。データベースユーザーを作成すると、組み込みロールのいずれかによって、そのユーザーがAtlasプロジェクト内のすべてのクラスターに追加されます。プロジェクト内でデータベースユーザーがアクセスできるリソースを指定するには、Atlas UIでオプション Restrict Access to Specific Clusters を選択するか、特定の権限 と カスタムロール を設定します。
データベース ユーザーは Atlas ユーザーとは別です。データベース ユーザーは MongoDB データベースにアクセスでき、Atlas ユーザーは Atlas アプリケーション自体にアクセスできます。Atlas では、7日以内(ユーザー側で指定可能)に自動的に期限切れとなる一時データベースユーザーの作成がサポートされています。
Atlas は、プロジェクトのアクティビティフィードにある一時データベースユーザーと一時的でないデータベースユーザーの作成、削除、更新を監査します。
注意
自己管理型配置
このページの情報は、Atlasでホストされている配置にのみ適用されます。自己管理型配置でデータベースユーザーを作成する方法については、自己管理型配置でデータベースユーザーを作成する。を参照してください。
制限
次の制限は、MongoDB Atlas でホストされている配置にのみ適用されます。 これらの制限のいずれかが組織にとって問題となる場合は、 Atlas サポートにお問い合わせください。
Atlas クラスターでデータベースユーザーを管理するには、Atlas CLI、Atlas Administration API、Atlas UI、またはサポートされている統合を使用する必要があります。それ以外の場合、Atlas はユーザーによる変更をすべてロールバックします。
使用可能な Atlas 組み込みロールと特定の権限は、 MongoDBコマンドのサブセットをサポートします。詳細については、M10+ クラスターでサポートされていないコマンド を参照してください。
Atlasプロジェクトごとに最大 100 のデータベースユーザーを作成できます。
データベースユーザーの認証メソッド
Atlas は、データベースユーザーに対して次の形式の認証を提供します。
パスワード: SCRAM は MongoDB のデフォルトの認証方法です。SCRAM では、ユーザーごとにパスワードが必要です。
SCRAM 認証ユーザーの認証データベースは
adminデータベースです。注意
デフォルトでは、Atlas は SCRAM-SHA-256認証をサポートしています。MongoDB 4.0 より前にユーザーを作成した場合は、 MongoDB 4.0 を更新し、パスワードを更新して SCRAM-SHA-256 認証情報を生成する必要があります。既存のパスワードを再利用できます。
SCRAM を使用する場合
SCRAM認証は人間ユーザーとアプリケーションユーザーに使用できます。下位環境の場合は、SCRAM が適した認証方法となります。実稼働環境では 以上の環境では、特権アクセス管理(PAM)ソリューションと統合するなど、セキュリティのベストプラクティスに従って、シークレットを安全かつ短期間に保持します。
X.509 証明書: X.509 証明書 (相互 TLS または mTLS とも呼ばれます)は、信頼できる証明書を使用することでパスワードレス認証を可能にします。
X. 509 認証ユーザーの認証データベースは
$externalデータベースです。LDAP認可を有効にすると、Atlas が管理する X.509 証明書で認証するユーザーを使用してクラスターに接続することはできません。LDAP を有効にし、X.509 ユーザーを使用してクラスターに接続するには、自己管理型 X.509 証明書の設定 を参照してください。
X.509 を使用する場合
X.509認証は、ワークロードID フェデレーション(OIDC)またはAWS IAM認証が実行できない場合、または相互認証が必要な場合に、安全なワークロードアクセスに適しています。
OIDC: OpenID Connect(OIDC)認証、外部 IdP を使用したスワードレス、シークレットレス認証が可能になります。Atlas は次のタイプの OIDC認証をサポートしています。
従業員、パートナー、契約従業員などの人間のプリンシパルのための Workforce IdP。
ワークロード Identity Federation for applications using external programmatic identities such as Azure Service Principals, Azure マネージド Identities, and Google Service Accounts.
OIDC 認証ユーザーの認証データベースは
$externalデータベースです。OIDC認証はMongoDBバージョン 7.0 以降を使用するクラスターでのみ使用できます。
OIDC を使用する場合
人間のユーザーの場合は、OIDC とともに Workforce IdP を使用することをお勧めします。
アプリケーションユーザーの場合は、 GCPまたはAzure上で実行するアプリケーション向けに OIDC とともに Workload Identity Federation を使用することをお勧めします。
必要なアクセス権
データベースユーザーを追加するには、Atlas に対する Organization Owner、Organization Stream Processing Admin、Project Owner、Project Stream Processing Owner、または Project Database Access Admin アクセス権が必要です。