MongoDB Atlas는 강력한 보안을 보장하기 위해 다양한 인증 방법을 지원합니다. Atlas UI, Atlas 데이터베이스 및 Atlas 관리 API에 액세스하려면 모든 사용자가 인증을 거쳐야 합니다.
참고
이 맥락에서 '사용자'는 사람 또는 애플리케이션일 수 있습니다. 사람 사용자는 'Workforce Identity', 애플리케이션은 'Workload Identity'라고 부릅니다.
어떤 인증 방식을 사용할지는 두 가지 요인에 따라 결정됩니다.
ID 유형(사람 또는 기계)
ID가 액세스해야 할 리소스 리소스는 Atlas UI, Atlas Database 또는 Atlas API 중 하나일 수 있습니다.
Atlas UI 인증
인적 사용자
먼저 IP 접근 제한을 적용한 다음을 수행합니다.
Okta, Microsoft Entra ID, Ping Identity와 같은 SAML 2.0 지원 신원 공급자와 을 사용하고
Atlas 자격 증명을 다단계 인증(MFA)과 함께 사용하세요. 항상 hardware 키나 생체 인식 등 가장 안전한 형태의 MFA를 사용해야 합니다.
워크로드 사용자
이는 인적 사용자(Workforce)에만 적용됩니다.
Atlas 데이터베이스 인증
인적 사용자
Workforce Identity Federation을 사용하세요.
개발 및 테스트 환경에서는 SCRAM도 사용할 수 있습니다. Just-in-Time 데이터베이스 접근 방식으로 임시 데이터베이스 사용자를 생성하는 것도 고려할 수 있습니다.
워크로드 사용자
다음 중 하나를 사용합니다.
Atlas API 인증
참고
이 내용은 Workforce 사용자와 Workload 사용자 모두에게 적용됩니다.
인증 유형
다음 섹션에서는 Atlas UI, Atlas 데이터베이스 또는 Atlas 관리 API에 접근할 때 사용되는 인증 방법에 대한 세부 정보를 제공합니다.
연합 인증
연합 인증을 사용하면 여러 시스템 및 애플리케이션에서 중앙 자격 증명 공급자를 통해 Atlas UI에 대한 모든 인증을 관리하여 사용자 관리 복잡성을 줄일 수 있습니다. 연합 인증을 통해 암호 복잡성, 자격 증명 교체, MFA 등과 같은 보안 정책을 자격 증명 공급자의 도구 내에서 시행할 수 있습니다.
Atlas UI를 위한 연합 인증에서는 Okta, Microsoft Entra ID, Ping Identity 등 SAML 호환 자격 증명 공급자를 사용할 수 있습니다.
Workforce Identity Federation
Workforce Identity Federation을 사용하면 자격 증명 공급자를 통해 Atlas 데이터베이스의 모든 인증을 관리할 수 있습니다. 자세한 내용은 OIDC 기반 Workforce Identity Federation 설정을 참조하세요.
Workload Identity Federation
워크로드 ID 페더레이션은 Azure 및 Google Cloud와 같은 클라우드 환경에서 실행되는 애플리케이션이 별도의 데이터베이스 사용자 자격 증명을 관리할 필요 없이 Atlas에 인증할 수 있도록 합니다. Workload Identity Federation을 통해 Azure 관리 ID, Google 서비스 계정 또는 OAuth 2.0호환 서비스를 사용하여 Atlas 데이터베이스 사용자를 관리할 수 있습니다. 이러한 인증 메커니즘은 Atlas 데이터베이스에 암호 없는 접근을 허용하여 관리가 간편해지고 보안이 강화됩니다.
AWS IAM 역할 인증
AWS IAM 역할을 통해서도 인증할 수 있습니다. 자세한 내용은 AWS IAM 인증을 참조하세요.
더 자세한 정보는 OAuth 2.0 기반 Workload Identity Federation 설정 및 연합 인증 구성을 참조하세요.
다단계 인증
Atlas 관리 기능에 접근하는 모든 인적 사용자는 보안 강화를 위해 MFA를 반드시 사용해야 합니다. Atlas는 다음 MFA 방법을 보조 식별 수단으로 지원합니다.
보안 키
생체 인식
OTP 인증자
Okta Verify를 사용한 푸시 알림
이메일
참고
연합 인증을 사용할 경우 MFA는 자격 증명 공급자(IdP)에서 구성 및 관리합니다. Atlas 자격 증명을 사용하는 경우 MFA는 Atlas에서 설정 및 관리하며 Atlas 자격 증명을 사용할 때는 MFA가 필수입니다.
자세한 내용은 다중 인증 옵션 관리하기 항목을 참조하세요.
X.509 클라이언트 인증서
X.509 인증서는 상호 TLS 기반 보안성을 제공하므로 스테이징과 운영 환경에 적합하며 X.509 인증서 사용 시 자체 인증 기관을 활용할 수도 있습니다. X.509의 단점은 애플리케이션 측에서 인증서와 그 보안을 관리해야 한다는 점입니다. 반면 Workload Identity Federation을 사용하면 암호 없는 액세스가 가능하고 애플리케이션 보안이 더 간편해집니다.
자세한 내용은 X.509를 참조하세요.
SCRAM 비밀번호 인증
Atlas 클러스터는 사용자 인증을 위해 SCRAM 비밀번호 인증을 지원하지만 SCRAM 방식은 개발 및 테스트 환경에서만 사용하는 것을 권장합니다.
X.509 또는 SCRAM 인증 활용하는 경우, 복잡한 데이터베이스 자격 증명 생성하고 저장 HashiCorp Vault 또는 Amazon Web Services Secrets 관리자 와 같은 타사 시크릿 관리자를 사용하는 것이 좋습니다.
자세한 내용은 SCRAM을 참조하세요.
서비스 계정
서비스 계정은 업계 표준 OAuth2.0을 사용합니다. Atlas 관리 API를 통해 Atlas에 안전하게 인증합니다. 가능하면 API 키 대신 서비스 계정을 사용하는 것이 좋습니다. 서비스 계정은 단기 액세스 토큰과 필수 자격 증명 순환을 통해 보안을 강화합니다.
Atlas UI, Atlas CLI, Atlas 관리 API 및 Terraform을 사용하여 서비스 계정의 프로그래밍 방식 액세스를 관리할 수 있습니다.
API 키
서비스 계정은 선호되는 인증 방식입니다. Atlas는 프로그램적 액세스를 관리하기 위한 API 키 기반 인증에 대한 레거시 지원을 제공합니다. API 키 기반 인증은 HTTP Digest 인증을 사용하여 요청을 보호합니다.
보안을 더욱 강화하고 무단 액세스의 위험을 최소화하려면:
API 키를 정기적으로 로테이션하기 위한 권장사항 따르세요. 예시 를 들어 HashiCorp Vault를 사용하여 이러한 키를 순환하는 방법을 학습 HashiCorp 설명서를 참조하세요.
API 키에 IP 액세스 목록을 사용합니다. 자세한 내용은 Atlas 관리 API에 대한 IP 액세스 목록 요구를 참조하세요.
자세한 내용은 Atlas 관리 API 인증을 참조하세요.
비밀 관리
복잡한 데이터베이스 자격 증명 생성하고 저장 하려면 HashiCorp Vault 또는 Amazon Web Services Secrets 관리자 와 같은 타사 시크릿 관리자를 사용하는 것이 좋습니다. 시크릿 관리자는 Atlas 데이터베이스에 대해 구성된 역할을 기반으로 데이터베이스 자격 증명 동적으로 생성할 수 있습니다.
자세한 내용은 MongoDB Atlas 데이터베이스 비밀을 HashiCorp Vault에서 관리하는 방법에 대한 블로그를 참조하세요.
배포
인증과 관련된 배포서버에 대한 권장 사항은 Atlas 조직, 프로젝트 및 클러스터에 대한 지침을 참조하세요.
추가 보안 조치
보안을 더욱 강화하고 무단 액세스의 위험을 최소화하려면 다음과 같은 추가 보안 조치를 고려하세요.
만료 전에 서비스 계정의 시크릿을 교체하세요.
서비스 계정에 IP 액세스 목록을 사용하세요.
서비스 계정에는 필요한 목적을 위한 최소 권한의 Atlas 역할을 부여해 최소 권한 원칙을 준수하세요.
자세한 내용은 서비스 계정 개요를 참조하세요.