MongoDB Atlas는 강력한 보안을 보장하기 위해 다양한 인증 방법을 지원합니다. Atlas UI, Atlas 데이터베이스 및 Atlas 관리 API에 액세스하려면 모든 사용자가 인증을 거쳐야 합니다.
참고
MongoDB Atlas 공동 책임 모델은 안전하고 복원력이 뛰어난 데이터 환경을 유지 관리하는 데 있어 MongoDB 와 MongoDB 고객의 보완 의무를 정의합니다. 이 프레임워크 에서 MongoDB 기본 플랫폼의 보안 및 운영 무결성을 관리하고 고객은 특정 배포의 구성, 관리 및 데이터 정책을 책임집니다. 보안 및 운영 효율성에 대한 소유권에 대한 자세한 분석은 공유 책임 모델을 참조하세요.
참고
이 맥락에서 '사용자'는 사람 또는 애플리케이션일 수 있습니다. 사람 사용자는 'Workforce Identity', 애플리케이션은 'Workload Identity'라고 부릅니다.
어떤 인증 방식을 사용할지는 두 가지 요인에 따라 결정됩니다.
ID 유형(사람 또는 기계)
ID가 액세스해야 할 리소스 리소스는 Atlas UI, Atlas Database 또는 Atlas API 중 하나일 수 있습니다.
Atlas UI 인증
인적 사용자
먼저 IP 접근 제한을 적용한 다음을 수행합니다.
Okta, Microsoft Entra ID 또는 Ping Identity와 같은 SAML ID 제공자 와 함께 연합 2.0 인증을 사용합니다.
Atlas 자격 증명을 다단계 인증(MFA)과 함께 사용하세요. 항상 hardware 키나 생체 인식 등 가장 안전한 형태의 MFA를 사용해야 합니다.
워크로드 사용자
이는 인적 사용자(Workforce)에만 적용됩니다.
Atlas 데이터베이스 인증
인적 사용자
Workforce Identity Federation을 사용하세요.
개발 및 테스트 환경에서는 SCRAM도 사용할 수 있습니다. Just-in-Time 데이터베이스 접근 방식으로 임시 데이터베이스 사용자를 생성하는 것도 고려할 수 있습니다.
워크로드 사용자
다음 중 하나를 사용합니다.
Atlas API 인증
참고
이 내용은 Workforce 사용자와 Workload 사용자 모두에게 적용됩니다.
인증 유형
다음 섹션에서는 Atlas UI, Atlas 데이터베이스 또는 Atlas 관리 API에 접근할 때 사용되는 인증 방법에 대한 세부 정보를 제공합니다.
연합 인증
연합 인증을 사용하면 여러 시스템 및 애플리케이션에서 중앙 자격 증명 공급자를 통해 Atlas UI에 대한 모든 인증을 관리하여 사용자 관리 복잡성을 줄일 수 있습니다. 연합 인증을 통해 암호 복잡성, 자격 증명 교체, MFA 등과 같은 보안 정책을 자격 증명 공급자의 도구 내에서 시행할 수 있습니다.
Atlas UI 의 경우 Okta, Microsoft Entra ID 또는 Ping Identity와 같은 SAML 호환 ID 제공자 사용할 수 있습니다.
Workforce Identity Federation
Workforce Identity Federation을 사용하면 ID 제공자 통해 Atlas 데이터베이스 에 대한 모든 인증 관리 할 수 있습니다. 자세한 학습 은 oidc-authentication-workforce를 참조하세요.
Workload Identity Federation
Workload Identity Federation을 사용하면 Azure 및 Google Cloud Platform 같은 cloud 환경에서 실행 애플리케이션을 별도의 데이터베이스 사용자 자격 증명 관리 할 필요 없이 Atlas 로 인증할 수 있습니다. Workload Identity Federation을 사용하면 Azure 관리형 ID, Google 서비스 계정 또는 모든 OAuth 2.0호환 서비스를 사용하여 Atlas 데이터베이스 사용자를 관리 할 수 있습니다. 이러한 인증 메커니즘은 Atlas 데이터베이스 에 암호 없는 액세스 수 있도록 하여 관리 간소화하고 보안을 강화합니다.
AWS IAM 역할 인증
AWS IAM 역할을 통해 인증할 수도 있습니다. 자세한 학습 은 setup-pwdless-auth를 참조하세요.
자세한 학습 은 oidc-authentication-workload 및 atlas-federated-authentication을 참조하세요.
다단계 인증
Atlas 컨트롤 플레인에 액세스 할 수 있는 모든 인간 사용자의 경우 보안 강화를 위해 MFA 가 필요합니다. Atlas 세컨더리 ID로 다음 MFA 메서드를 지원합니다.
보안 키
생체 인식
OTP 인증자
Okta Verify를 사용한 푸시 알림
이메일
참고
페더레이션 인증을 사용하는 경우 IdP 에서 MFA를 구성하고 관리 . Atlas 자격 증명 사용하는 경우 MFA는 Atlas 내에서 구성되고 managed . Atlas 자격 증명 사용할 때는 MFA가 필요합니다.
자세한 학습 은 atlas-enable-mfa를 참조하세요.
X.509 클라이언트 인증서
X.509 인증서는 상호 TLS 기반 보안성을 제공하므로 스테이징과 운영 환경에 적합하며 X.509 인증서 사용 시 자체 인증 기관을 활용할 수도 있습니다. X.509의 단점은 애플리케이션 측에서 인증서와 그 보안을 관리해야 한다는 점입니다. 반면 Workload Identity Federation을 사용하면 암호 없는 액세스가 가능하고 애플리케이션 보안이 더 간편해집니다.
자세한 내용은 X.509를 참조하세요.
SCRAM 비밀번호 인증
Atlas 클러스터는 사용자 인증을 위해 SCRAM 비밀번호 인증을 지원하지만 SCRAM 방식은 개발 및 테스트 환경에서만 사용하는 것을 권장합니다.
X.509 또는 SCRAM 인증 활용하는 경우,HashiCorp Vault 또는 Amazon Web Services Secrets 관리자 와 같은 타사 시크릿 관리자를 사용하여 복잡한 데이터베이스 자격 증명 생성하고 저장 것이 좋습니다.
자세한 내용은 SCRAM을 참조하세요.
서비스 계정
서비스 계정은 업계 표준 OAuth 2.0을 사용하여 Atlas 관리 API를 통해 Atlas에 안전하게 인증합니다. 가능하면 API 키 대신 서비스 계정을 사용하는 것이 좋습니다. 서비스 계정은 단기 액세스 토큰과 필수 자격 증명 회전을 통해 보안을 강화합니다.
Atlas UI, Atlas CLI, Atlas 관리 API 및 Terraform을 사용하여 서비스 계정의 프로그래밍 방식 액세스를 관리할 수 있습니다.
API 키
서비스 계정은 선호되는 인증 방법입니다. Atlas 프로그래밍 방식의 액세스 관리하기 위해 API 키 기반 인증 에 대한 레거시 지원 제공합니다. API 키 기반 인증 HTTP 다이제스트 인증 사용하여 요청을 보호합니다.
보안을 더욱 강화하고 무단 액세스의 위험을 최소화하려면:
API 키를 정기적으로 로테이션하기 위한 권장사항 따르세요. 예시 를 들어 HashiCorp Vault를 사용하여 이러한 키를 순환하는 방법을 학습 HashiCorp 설명서를 참조하세요.
API 키에 IP 액세스 목록을 사용합니다. 자세한 내용은 Atlas 관리 API에 대한 IP 액세스 목록 요구를 참조하세요.
비밀 관리
복잡한 데이터베이스 자격 증명 생성하고 저장 하려면 HashiCorp Vault 또는 Amazon Web Services Secrets 관리자 와 같은 타사 시크릿 관리자를 사용하는 것이 좋습니다. 시크릿 관리자는 Atlas 데이터베이스에 대해 구성된 역할을 기반으로 데이터베이스 자격 증명 동적으로 생성할 수 있습니다.
자세한 내용은 MongoDB Atlas 데이터베이스 비밀을 HashiCorp Vault에서 관리하는 방법에 대한 블로그를 참조하세요.
배포
인증과 관련된 배포서버에 대한 권장 사항은 Atlas 조직, 프로젝트 및 클러스터에 대한 지침을 참조하세요.
추가 보안 조치
보안을 더욱 강화하고 무단 액세스의 위험을 최소화하려면 다음과 같은 추가 보안 조치를 고려하세요.
만료 전에 서비스 계정의 시크릿을 교체하세요.
서비스 계정에 IP 액세스 목록을 사용하세요.
서비스 계정에는 필요한 목적을 위한 최소 권한의 Atlas 역할을 부여해 최소 권한 원칙을 준수하세요.
자세한 내용은 서비스 계정 개요를 참조하세요.