Join us Sept 17 at .local NYC! Use code WEB50 to save 50% on tickets. Learn more >
MongoDB Event
Docs Menu
Docs Home
/
MongoDB Atlas
/
Atlas 아키텍처 센터
/
보안
/
권한 부여 및 인증

Atlas 권한 부여 지침

MongoDB Atlas 리소스에 대한 강력한 액세스 보장하기 위해 다양한 권한 부여 방법을 지원합니다. Atlas 모든 사용자에게 인증을 요구합니다. 사용자가 인증되면 권한 부여 따라 리소스에 대한 사용자의 액세스 결정됩니다.

Atlas 권한 부여 구현할 때는 RBAC(역할 기반 액세스 제어)를 사용해야 합니다. 연합 ID 제공자의 사용자 그룹을 RBAC와 함께 사용하면 관리 간소화됩니다.

다음 권장 사항은 모든 배포서버 패러다임의 워크로드(인적) 및 워크로드 (애플리케이션 ) 사용자 모두에게 적용 .

RBAC 및 사전 정의된 역할

Atlas RBAC(역할 기반 액세스 제어)를 사용하여 사용자 권한 부여 관리 간소화합니다. Atlas 에는 UI 및 API를 사용하여 Atlas 관리하는 데 일반적으로 필요한 특정 수준의 액세스 제공하는 사전 정의된 사용자 역할이 포함되어 있습니다. 관리 간소화하기 위해 IdP 그룹에 역할을 매핑할 수 있습니다.

Atlas 클러스터에 연결하려면 세분화된 사용자 지정 데이터베이스 역할을 사용하여 역할 이 기능을 수행하는 데 필요한 액세스 기반으로 세분화된 범위를 제공하세요. 이 접근 방식을 사용하면 최소 권한 원칙을 따를 수 있습니다.

참고

항상 가장 필요한 RBAC 역할을 할당하여 액세스 제한해야 합니다. 도메인 제한도 사용해야 합니다.

할당할 수 있는 역할에는 조직 수준과 프로젝트 수준의 두 가지 수준이 있습니다.

조직 수준 역할

조직 수준 역할은 서비스 계정에서 새 프로젝트 생성, IAM 관리, 청구 등의 작업을 자동화하는 데 사용됩니다. 플랫폼 팀 구성원에게도 사용될 수 있습니다.

  • Organization Owner 역할은 조직 전체 설정을 변경하고 구성을 삭제할 수 있는 기능이 있으므로 엄격하게 제한해야 하며 사람에게 할당해서는 안 됩니다. 이 역할은 조직을 처음 설정하고 구성할 때만 사용하는 서비스 계정에 할당해야 합니다. 초기 생성 후 구성 변경을 최소화하십시오. 계정 잠금을 방지하기 위해 다음 항목을 생성할 수 있습니다.

    • JIT(Just-in-Time) 액세스 권한이 있는SAML 조직 소유자 그룹 .

    • 조직 소유자 역할 있는 서비스 계정입니다. Break-Glass 긴급 시나리오에 대비한 강력한 액세스 관리 통해 안전한 장소에 보관하세요.

  • Organization Member 역할은 조직의 설정 및 구성을 볼 수 있는 운영 및 플랫폼 팀의 관리자에게 할당되어야 합니다.

  • Organization Project Creator 역할 개발 및 제품 팀을 위한 새 애플리케이션을 대신하여 프로젝트를 만드는 데 사용되는 프로그래매틱 서비스 계정이어야 합니다.

  • Organization Billing Admin 역할 Billing API 에서 프로그래밍 방식으로 청구서를 가져와서 재무 운영 도구에 제공하는 데 사용되는 프로그래밍 방식 서비스 계정이어야 합니다. 이 동일한 서비스 계정은 사용 보고 담당하는 모든 연결된 조직에 액세스 할 수 있어야 합니다.

프로젝트 수준 역할

프로젝트 수준의 역할은 애플리케이션 개발 및 유지 관리를 담당하는 개발, 테스트 및 제품 팀을 위한 것입니다. 조직 수준 역할과 마찬가지로 항상 최소 권한 원칙을 따라야 합니다. 예시 를 들어 Project Owner 역할 운영 및 프로비저닝 팀 에서 시행하는 거버넌스 에만 사용해야 합니다. 프로젝트 소유자가 클러스터를 만들고 삭제 수 있으므로 샌드박스 환경에서 작업하지 않는 한 프로그래매틱 서비스 계정에 이 역할 할당해야 합니다.

프로젝트 수준 역할에 대해 자세히 학습 다음을 참조하세요.

페더레이션 ID 제공자

Atlas 연합 ID 제공자 와 통합하면 ID 제공자 그룹을 Atlas 역할에 매핑하여 적시 프로비저닝 사용할 수 있습니다. 이를 통해 액세스 관리 간소화하고 플랫폼 전체에서 안전하고 조직적인 역할 할당을 보장합니다. 오케스트레이션 계층의 프로비저닝 프로세스 에 따라 프로그래밍 방식으로 액세스 부여할 수 있습니다.

Azure Entra ID, Okta 또는 Ping Identity와 같이 SSO를 제공하는 최신 FIP(페더레이션 ID 제공자)를 사용해야 합니다. 이를 통해 권한 부여 프로세스 보안을 강화하고 IdP 그룹을 Atlas 역할에 프로그래밍 방식으로 할당하는 데 필요한 유연성을 지원합니다. 회사 도메인에 대한 액세스 제한하여 사용자가 액세스 권한이 없을 때 Atlas 에 로그인할 수 없도록 해야 합니다.

페더레이션 ID 제공자 그룹에 역할을 매핑하는 방법에 대해 자세히 학습 역할 매핑 프로세스를 참조하세요.

적시 액세스

Atlas 사전 정의된 시간이 지나면 자동으로 만료되는 임시 데이터베이스 사용자 생성도 지원합니다. 사용자는 6 시간, 1 일 또는 1 주 동안 생성할 수 있습니다.

자세한 내용은 데이터베이스 사용자 구성을 참조하세요.

예시

권한 부여 구성에 대한 예제는 권한 부여 및 인증 예제를 참조하세요.

돌아가기

인증

다음

인증 예제

이 페이지의 내용