Docs Menu
Docs Home
/ /
권한 부여 및 인증
Docs Home
/
Atlas 아키텍처 센터
/
보안
/
권한 부여 및 인증
Docs Home
/
Atlas 아키텍처 센터
/
보안
/
권한 부여 및 인증

Atlas 권한 부여 지침

MongoDB Atlas는 리소스에 대한 강력한 접근을 보장하기 위해 다양한 권한 부여 방법을 지원합니다. Atlas는 모든 사용자에게 인증을 요구하며 사용자가 인증되면 권한 부여가 사용자의 리소스 접근 권한을 결정합니다.

Atlas 권한 부여를 구현할 때는 반드시 역할 기반 액세스 제어(RBAC)를 사용해야 합니다. RBAC와 함께 연합 자격 증명 공급자의 사용자 그룹을 사용하면 관리가 간소화됩니다.

다음 권장 사항은 모든 배포서버 패러다임에서 인적 사용자 및 워크로드 사용자 모두에게 적용됩니다.

RBAC 및 사전 정의된 역할

Atlas는 사용자 권한 부여 관리를 단순화하기 위해 역할 기반 접근 제어(RBAC)를 사용합니다. Atlas에는 UI 및 API를 사용하여 Atlas를 관리하는 데 일반적으로 필요한 특정 수준의 액세스를 제공하는 사전 정의된 사용자 역할이 포함되어 있습니다. 관리를 단순화하기 위해 이러한 역할을 자격 증명 공급자 그룹에 매핑할 수 있습니다.

Atlas 클러스터에 연결하려면 세분화된 사용자 지정 데이터베이스 역할을 사용하여 역할이 기능을 수행하는 데 필요한 액세스 권한을 기반으로 세분화된 범위를 제공합니다. 이러한 접근 방식은 최소 권한 원칙을 준수하는 데 도움이 됩니다.

참고

항상 필요한 최소한의 RBAC 역할만 부여하여 접근을 제한해야 합니다. 도메인 제한도 사용해야 합니다.

부여 가능한 역할에는 조직 수준과 프로젝트 수준의 두 가지가 있습니다.

조직 수준 역할

조직 수준의 역할은 서비스 계정이 신규 프로젝트 생성, IAM 관리, 청구 등의 작업을 자동화하는 데 사용됩니다. 이 역할은 플랫폼 팀 구성원도 사용할 수 있습니다.

  • Organization Owner 역할은 조직 전체 설정을 변경하고 구성을 삭제할 수 있는 기능이 있으므로 엄격하게 제한해야 하며 사람에게 할당해서는 안 됩니다. 이 역할은 조직을 처음 설정하고 구성할 때만 사용하는 서비스 계정에 할당해야 합니다. 초기 생성 후 구성 변경을 최소화하십시오. 계정 잠금을 방지하기 위해 다음 항목을 생성할 수 있습니다.

    • JIT(Just-in-Time) 액세스 권한이 있는SAML 조직 소유자 그룹 .

    • 조직 소유자 역할을 가진 서비스 계정입니다. 비상 상황에 대비해 해당 계정은 엄격한 액세스 관리가 적용된 안전한 장소에 보관해야 합니다

  • Organization Member 역할은 조직의 설정 및 구성을 볼 수 있는 운영 및 플랫폼 팀의 관리자에게 할당되어야 합니다.

  • Organization Project Creator 역할 개발 및 제품 팀을 위한 새 애플리케이션을 대신하여 프로젝트를 만드는 데 사용되는 프로그래매틱 서비스 계정이어야 합니다.

  • Organization Billing Admin 역할 Billing API 에서 프로그래밍 방식으로 청구서를 가져와서 재무 운영 도구에 제공하는 데 사용되는 프로그래밍 방식 서비스 계정이어야 합니다. 이 동일한 서비스 계정은 사용 보고 담당하는 모든 연결된 조직에 액세스 할 수 있어야 합니다.

프로젝트 수준 역할

프로젝트 수준의 역할은 애플리케이션 개발 및 유지 관리를 담당하는 개발, 테스트 및 제품 팀을 위해 마련되었습니다. 조직 수준의 역할과 마찬가지로 항상 최소 권한 원칙을 준수해야 합니다. 예를 들어 Project Owner 역할은 운영 및 프로비저닝 팀이 거버넌스를 시행할 때만 사용해야 합니다. 프로젝트 소유자는 클러스터를 만들고 삭제할 수 있으므로 샌드박스 환경에서 작업하는 경우가 아니라면 이 역할을 프로그래매틱 서비스 계정에 할당해야 합니다.

프로젝트 수준 역할에 대해 더 알아보려면 다음을 참고하세요.

연합 자격 증명 공급자

Atlas를 연합 자격 증명 공급자와 통합하면 자격 증명 공급자 그룹을 Atlas 역할에 매핑하여 즉시 프로비저닝을 사용할 수 있습니다. 이러한 방식은 액세스 관리를 간소화하고 플랫폼 전반에 걸쳐 안전하고 체계적인 역할 할당을 지원합니다. 오케스트레이션 계층의 프로비저닝 프로세스에 따라 프로그래밍 방식으로 액세스 권한을 부여할 수 있습니다.

Azure Entra ID, Okta 또는 Ping Identity와 같은 SSO를 제공하는 최신 연합 신원 공급자(FIP)를 사용해야 합니다. 이렇게 하면 권한 부여 프로세스가 더욱 안전해지고 자격 증명 공급자 그룹을 Atlas 역할에 프로그래밍 방식으로 할당하는 데 필요한 유연성이 확보됩니다. 회사 도메인에 대한 액세스를 제한하여 액세스 권한이 없는 사용자가 Atlas에 로그인하는 것을 방지해야 합니다.

연합 자격 증명 공급자 그룹에 역할을 매핑하는 방법에 대한 자세한 내용은 역할 매핑 프로세스를 참조하세요.

적시 액세스

Atlas는 미리 정의된 시간이 지나면 자동으로 만료되는 임시 데이터베이스 사용자 생성을 지원합니다. 6시간, 1일, 또는 1주 단위로 사용자를 생성할 수 있습니다.

자세한 내용은 데이터베이스 사용자 구성을 참조하세요.

예시

권한 부여 구성을 위한 예시는 권한 부여 및 인증 예시를 참조하세요.

돌아가기

인증

다음

인증 예시

이 페이지의 내용