MongoDB Atlas 강력한 보안을 보장하기 위해 다양한 인증 방법을 지원합니다. Atlas 에서는 모든 사용자가 인증을 받아야 Atlas UI, Atlas 데이터베이스 및 Atlas 관리 API 액세스 .
참고
여기서 '사용자'는 사람 또는 애플리케이션 될 수 있습니다. 인간 사용자를 '워크포스 ID'라고 하고 애플리케이션을 '워크로드 아이덴티티'라고 합니다.
사용할 인증 유형을 결정하는 요인은 두 가지입니다.
ID 유형(사람 또는 기계)
ID가 액세스 해야 하는 리소스 입니다. 리소스 Atlas UI, Atlas 데이터베이스 또는 Atlas API 중 하나일 수 있습니다.
Atlas UI 인증
인력 사용자
IP 액세스 제한을 사용한 후 다음을 수행합니다.
Okta, Microsoft Entra ID 또는 Ping Identity와 같은 SAML ID 제공자 와 함께페더레이션 2.0 인증을 사용합니다.
MFA(다단계 인증)와 함께 Atlas 자격 증명 사용합니다. 항상 hardware 키 또는 생체 인식과 같이 사용 가능한 가장 안전한 형태의 MFA를 사용해야 합니다.
워크로드 사용자
이는 Workforce 사용자에게만 적용됩니다.
Atlas 데이터베이스 인증
인력 사용자
Workforce Identity Federation을 사용합니다.
개발 및 테스트 환경의 경우 SCRAM 사용할 수도 있습니다.JIT(Just-In-Time) 데이터베이스 액세스 있는 임시데이터베이스 사용자를 생성하는 것을 고려하세요.
워크로드 사용자
다음 중 하나를 사용합니다:
개발 및 테스트 환경의 경우 X.509 인증서 또는 SCRAM 사용할 수도 있습니다.
Atlas API 인증
참고
이는 Workforce 및 Workload 사용자 모두에게 적용됩니다.
서비스 계정을 사용합니다. 개발 및 테스트 환경의 경우 서비스 계정 또는 API 키를 사용할 수도 있습니다.
인증 유형
다음 섹션에서는 Atlas UI, Atlas 데이터베이스 또는 Atlas 관리 API 액세스할 때 사용되는 인증 방법에 대해 자세히 설명합니다.
연합 인증
페더레이션 인증 사용하면 중앙 ID 제공자 통해 여러 시스템 및 애플리케이션에서 Atlas UI 에 대한 모든 인증 관리 할 수 있으므로 사용자 관리 복잡성이 줄어듭니다. 페더레이션 인증 사용하면 ID 제공자의 도구 내에서 비밀번호 복잡성, 자격 증명 순환, MFA와 같은 보안 정책을 시행하다할 수 있습니다.
Atlas UI 의 경우 Okta, Microsoft Entra ID 또는 Ping Identity와 같은 SAML 호환 ID 제공자 사용할 수 있습니다.
Workforce Identity Federation
Workforce Identity Federation을 사용하면 ID 제공자 통해 Atlas 데이터베이스 에 대한 모든 인증 관리 할 수 있습니다. 자세한 학습 은 OIDC로 Workforce Identity Federation 설정을 참조하세요.
Workload Identity Federation
워크로드 ID 페더레이션은 Azure 및 Google Cloud와 같은 클라우드 환경에서 실행되는 애플리케이션이 별도의 데이터베이스 사용자 자격 증명을 관리할 필요 없이 Atlas에 인증할 수 있도록 합니다. Workload Identity Federation을 통해 Azure 관리 ID, Google 서비스 계정 또는 OAuth 2.0호환 서비스를 사용하여 Atlas 데이터베이스 사용자를 관리할 수 있습니다. 이러한 인증 메커니즘은 Atlas 데이터베이스에 암호 없는 접근을 허용하여 관리가 간편해지고 보안이 강화됩니다.
AWS IAM 역할 인증
AWS IAM 역할을 통해 인증할 수도 있습니다. 자세한 학습 은 AWS IAM 인증을 참조하세요.
자세한 학습 은 OAuth 를 2.0 사용한 워크로드 아이덴티티 페더레이션 설정및 페더레이션 인증 구성을 참조하세요.
다단계 인증
Atlas 컨트롤 플레인에 액세스 할 수 있는 모든 인간 사용자의 경우 보안 강화를 위해 MFA가 필요합니다. Atlas 세컨더리 ID로 다음 MFA 메서드를 지원합니다.
보안 키
생체 인식
OTP 인증자
Okta Verify를 통한 푸시 알림
이메일
참고
페더레이션 인증을 사용하는 경우 IdP 에서 MFA를 구성하고 관리 . Atlas 자격 증명 사용하는 경우 MFA는 Atlas 내에서 구성되고 managed . Atlas 자격 증명 사용할 때는 MFA가 필요합니다.
자세한 내용은 다중 인증 옵션 관리하기 항목을 참조하세요.
X.509 클라이언트 인증서
X.509 인증서는 상호 TLS의 보안을 제공하므로 스테이징 및 프로덕션 환경에 적합하며, 자체 인증 기관을 가져와서 X.509와 함께 사용할 수 있습니다. X.509 의 단점은 애플리케이션 측에서 인증서와 이러한 인증서의 보안을 관리 해야 하는 반면 Workload Identity Federation을 사용하면 비밀번호 없이 액세스 하고 애플리케이션 보안을 더 쉽게 할 수 있다는 것입니다.
자세한 학습509 은 X.를 참조하세요.
SCRAM 비밀번호 인증
Atlas cluster는 사용자 인증 위해 SCRAM 비밀번호 인증 지원 하지만 개발 및 테스트 환경에서만 SCRAM 사용하는 것이 좋습니다.
X.509 또는 SCRAM 인증 활용하는 경우 HashiCorp Vault 또는 AWS Secrets 관리자 와 같은 타사 시크릿 관리자를 사용하여 복잡한 데이터베이스 자격 증명 생성하고 저장 것이 좋습니다.
서비스 계정
서비스 계정은 업계 표준 OAuth2.0을 사용합니다. Atlas 관리 API를 통해 Atlas에 안전하게 인증합니다. 가능하면 API 키 대신 서비스 계정을 사용하는 것이 좋습니다. 서비스 계정은 단기 액세스 토큰과 필수 자격 증명 순환을 통해 보안을 강화합니다.
Atlas UI, Atlas CLI, Atlas Administration API 및 Terraform을 사용하여 서비스 계정에 대한 프로그래밍 방식의 액세스 관리 할 수 있습니다.
API 키
서비스 계정은 선호되는 인증 방법입니다. Atlas 프로그래밍 방식의 액세스 관리하기 위해 API 키 기반 인증 에 대한 레거시 지원 제공합니다. API 키 기반 인증 HTTP 다이제스트 인증 사용하여 요청을 보호합니다.
보안을 더욱 강화하고 무단 액세스의 위험을 최소화하려면:
API 키를 정기적으로 로테이션하기 위한 권장사항 따르세요. 예시 를 들어 HashiCorp Vault를 사용하여 이러한 키를 순환하는 방법을 학습 HashiCorp 설명서를 참조하세요.
API 키에 IP 액세스 목록을 사용합니다. 자세한 내용은 Atlas 관리 API에 대한 IP 액세스 목록 요구를 참조하세요.
자세한 내용은 Atlas 관리 API 인증을 참조하세요.
비밀 관리
복잡한 데이터베이스 자격 증명 생성하고 저장 하려면 HashiCorp Vault 또는 AWS Secrets 관리자 와 같은 타사 시크릿 관리자를 사용하는 것이 좋습니다. 시크릿 관리자는 Atlas 데이터베이스에 대해 구성된 역할을 기반으로 데이터베이스 자격 증명 동적으로 생성할 수 있습니다.
자세한 내용은 MongoDB Atlas 데이터베이스 비밀을 HashiCorp Vault에서 관리하는 방법에 대한 블로그를 참조하세요.
배포
인증 과 관련된 배포서버에 대한 권장 사항을 학습 Atlas 조직, 프로젝트 및 클러스터에 대한 지침을 참조하세요.
추가 보안 조치
보안을 더욱 강화하고 무단 액세스 위험을 최소화하려면 다음과 같은 추가 보안 조치를 고려하세요.
서비스 계정 시크릿이 만료되기 전에 로테이션합니다.
서비스 계정의 의도된 목적에 필요한 최소 권한의 Atlas 역할 할당하여 최소 권한 원칙을 준수하도록 합니다.
자세한 내용은 서비스 계정 개요를 참조하세요.