개요
이 페이지에서는 Atlas Data Federation 에서 데이터베이스 사용자를 위한 고급 인증 및 권한 부여 설정을 구성하는 방법을 설명합니다. 여기에는 사용 가능한 인증 방법과 Atlas CLI, Atlas 관리 API 및 Atlas UI 사용하여 사용자를 관리 방법이 포함됩니다.
참고
Atlas는 기본적으로 Atlas 프로젝트당 최대 100명의 데이터베이스 사용자를 지원합니다. 프로젝트에 100명 이상의 데이터베이스 사용자가 필요한 경우 Atlas 관리 API를 사용하여 한도를 늘릴 수 있습니다. 도움이 필요하면 Atlas 지원팀에 문의하세요.
필요한 액세스 권한
고급 데이터베이스 사용자 구성을 사용하려면 Organization Owner Atlas 에서, Project Owner 또는 Project Database Access Admin 액세스 있어야 합니다.
데이터베이스 사용자 인증
Atlas (+adf+)는 데이터베이스 사용자를 위해 다음과 같은 인증 형식을 제공합니다.
X.509 인증서는 상호 TLS 또는 mTLS라고도 하며 신뢰할 수 있는 인증서를 사용하여 암호 없는 인증을 허용합니다.
X.509인증 사용자를 위한 인증 데이터베이스는 $external 데이터베이스입니다.
LDAP 권한 부여 활성화 하면 Atlas 관리형 X.509 인증서로 인증하는 사용자로 클러스터에 연결할 수 없습니다. LDAP 활성화 하고 X.509 사용자로 클러스터에 연결하려면 자체 관리형 X.509 인증서 설정을 참조하세요.
새 데이터베이스 사용자 추가
프로젝트에는 다양한 인증 방법을 사용하는 사용자가 있을 수 있습니다.
사용자를 생성한 후에는 해당 사용자의 인증 방법을 변경할 수 없습니다. 대체 인증 방법을 사용하려면 새 사용자를 생성해야 합니다.
Atlas CLI는 다음 명령어를 사용하여 새 데이터베이스 사용자와 X.509 인증서를 생성합니다. 지정하는 옵션에 따라 인증 방법이 결정됩니다.
Atlas CLI를 사용하여 프로젝트에 대한 데이터베이스 사용자를 생성하려면 다음 명령어를 실행하세요.
atlas dbusers create [builtInRole]... [options]
Atlas CLI를 사용하여 지정된 데이터베이스 사용자에 대한 새 Atlas 관리 X.509 인증서를 생성하려면 다음 명령어를 실행하십시오.
atlas dbusers certs create [options]
이전 명령의 구문과 매개변수에 대한 자세한 내용은 Atlas CLI 문서에서 Atlas dbusers 생성 및 Atlas dbusers CERT를 참조하세요.
Atlas Administration API를 통해 데이터베이스 사용자를 추가할 수 있습니다. 지정하는 옵션에 따라 인증 방법이 결정됩니다. 자세한 내용은 단일 데이터베이스 사용자 생성을 참조하세요.
인증 메커니즘을 선택하고 단계에 따라 Atlas UI를 사용하여 새 데이터베이스 사용자를 생성합니다.
AtlasGo Atlas 에서 프로젝트 의 Database & Network Access 페이지로 고 (Go) 합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Database & Network Access를 클릭합니다.
데이터베이스 & 네트워크 액세스 페이지가 표시됩니다.
권한을 할당합니다.
데이터베이스 사용자 권한을 선택합니다. 다음 중 한 가지 이상의 방법으로 새 사용자에게 권한을 할당할 수 있습니다.
Built-in Role 드롭다운 메뉴에서 내장 역할을 선택합니다. Atlas UI에서 데이터베이스 사용자당 하나의 내장 역할을 선택할 수 있습니다. 기본 옵션을 삭제하는 경우 Add Built-in Role을(를) 클릭하여 새 내장 역할을 선택할 수 있습니다.
사용자 지정 역할이 정의되어 있는 경우에는 Custom Roles 섹션을 펼치고 Custom Roles 드롭다운 메뉴에서 하나 이상의 역할을 선택할 수 있습니다. Add Custom Role을 클릭하여 사용자 지정 역할을 추가합니다. Custom Roles 링크를 클릭하여 프로젝트의 사용자 지정 역할을 볼 수도 있습니다.
Specific Privileges 섹션을 확장하고 Specific Privileges 드롭다운 메뉴에서 하나 이상의 권한을 선택합니다. 더 많은 권한을 추가하려면 Add Specific Privilege을(를) 클릭합니다. 이렇게 하면 개별 데이터베이스 및 컬렉션에 대한 사용자별 권한이 할당됩니다.
Atlas는 단일 데이터베이스 사용자에게 내장 역할, 여러 사용자 지정 역할, 여러 특정 권한을 적용할 수 있습니다.
적용된 역할 또는 권한을 제거하려면 삭제하려는 역할 또는 권한 옆에 있는 Delete를 클릭합니다.
참고
Atlas는 하나의 옵션만 선택한 경우 Built-in Role, Custom Role 또는 Specific Privilege 선택 항목 옆에 Delete 아이콘을 표시하지 않습니다. 다른 역할이나 권한을 적용한 후에는 선택한 역할이나 권한을 삭제할 수 있습니다.
권한 부여에 대한 자세한 내용은 MongoDB 매뉴얼의 Role-Based Access Control(역할 기반 액세스 제어) 및 Built-in Roles(내장 역할)를 참조하세요.
AtlasGo Atlas 에서 프로젝트 의 Database & Network Access 페이지로 고 (Go) 합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Database & Network Access를 클릭합니다.
데이터베이스 & 네트워크 액세스 페이지가 표시됩니다.
사용자 정보를 입력합니다.
필드 | 설명 | |
|---|---|---|
Common Name | TLS/SSL 인증서로 보호되는 사용자의 일반 이름(CN)입니다. 자세한 내용은 RFC 2253 를 참조하세요. 예를 예시, 일반 이름이 "Jane Doe"이고, 조직 이 "MongoDB"이며, 국가가 "US" 인 경우 Common Name 필드 에 다음을 삽입합니다. | |
User Privileges | 다음 중 한 가지 방법으로 역할을 할당할 수 있습니다:
내장 Atlas 권한에 대한 자세한 내용은 역할 및 권한 개요를 참조하세요. 권한 부여에 대한 자세한 내용은 MongoDB 매뉴얼의 Role-Based Access Control(역할 기반 액세스 제어) 및 Built-in Roles(내장 역할)를 참조하세요. |
AtlasGo Atlas 에서 프로젝트 의 Database & Network Access 페이지로 고 (Go) 합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Database & Network Access를 클릭합니다.
데이터베이스 & 네트워크 액세스 페이지가 표시됩니다.
권한을 할당합니다.
데이터베이스 사용자 권한을 선택합니다. 다음 중 한 가지 이상의 방법으로 새 사용자에게 권한을 할당할 수 있습니다.
Built-in Role 드롭다운 메뉴에서 내장 역할을 선택합니다. Atlas UI에서 데이터베이스 사용자당 하나의 내장 역할을 선택할 수 있습니다. 기본 옵션을 삭제하는 경우 Add Built-in Role을(를) 클릭하여 새 내장 역할을 선택할 수 있습니다.
사용자 지정 역할이 정의되어 있는 경우에는 Custom Roles 섹션을 펼치고 Custom Roles 드롭다운 메뉴에서 하나 이상의 역할을 선택할 수 있습니다. Add Custom Role을 클릭하여 사용자 지정 역할을 추가합니다. Custom Roles 링크를 클릭하여 프로젝트의 사용자 지정 역할을 볼 수도 있습니다.
Specific Privileges 섹션을 확장하고 Specific Privileges 드롭다운 메뉴에서 하나 이상의 권한을 선택합니다. 더 많은 권한을 추가하려면 Add Specific Privilege을(를) 클릭합니다. 이렇게 하면 개별 데이터베이스 및 컬렉션에 대한 사용자별 권한이 할당됩니다.
Atlas는 단일 데이터베이스 사용자에게 내장 역할, 여러 사용자 지정 역할, 여러 특정 권한을 적용할 수 있습니다.
적용된 역할 또는 권한을 제거하려면 삭제하려는 역할 또는 권한 옆에 있는 Delete를 클릭합니다.
참고
Atlas는 하나의 옵션만 선택한 경우 Built-in Role, Custom Role 또는 Specific Privilege 선택 항목 옆에 Delete 아이콘을 표시하지 않습니다. 다른 역할이나 권한을 적용한 후에는 선택한 역할이나 권한을 삭제할 수 있습니다.
권한 부여에 대한 자세한 내용은 MongoDB 매뉴얼의 Role-Based Access Control(역할 기반 액세스 제어) 및 Built-in Roles(내장 역할)를 참조하세요.
AWS IAM 연결 문자열 예시
mongosh와 AWS IAM 인증을 사용하여 Atlas에 연결하려면 shell 버전 v0.9.0 이상이 필요합니다.
다음 사항을 고려하세요:
액세스 키 ID를 사용자 이름으로, 시크릿 키를 암호로 활용하여 AWS IAM 자격 증명을 사용하세요.
authSource쿼리 매개변수는$external이며,%24external로 URL 인코딩됩니다.authMechanism쿼리 매개변수는MONGODB-AWS입니다.예시
mongosh "mongodb+srv://<atlas-host-name>/test?authSource=%24external&authMechanism=MONGODB-AWS" --username <access-key-id> --password <secret-key>
AtlasGo Atlas 에서 프로젝트 의 Database & Network Access 페이지로 고 (Go) 합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Database & Network Access를 클릭합니다.
데이터베이스 & 네트워크 액세스 페이지가 표시됩니다.
Add New Database User or Group 대화 상자를 엽니다.
딸깍 하는 소리 Add New Database User or Group.
참고
Workforce IdP를 Atlas에 적용하기 전까지는 이 버튼에 Add New Database User라고 표시됩니다.
Federated Auth를 선택합니다.
Authentication Method 섹션에서 Federated Auth를 선택합니다.
참고
조직에서 Workforce IdP를 활성화할 때까지 이 상자를 선택할 수 없습니다.
사용자 또는 그룹 권한을 할당합니다.
새 사용자 또는 그룹에 권한을 할당하려면 다음 작업 중 하나 이상을 수행합니다.
Built-in Role 드롭다운 메뉴에서 내장 역할을 선택합니다.
Atlas UI에서 데이터베이스 그룹당 하나의 기본 제공 역할을 선택할 수 있습니다.
기본 옵션을 삭제하는 경우 Add Built-in Role 을 클릭하여 새 기본 제공 역할을 선택할 수 있습니다.
사용자 지정 역할을 정의한 경우 Custom Roles 섹션을 확장하고 Custom Roles 드롭다운 메뉴에서 하나 이상의 역할을 선택할 수 있습니다.
사용자 지정 역할을 더 추가하려면 Add Custom Role 를 클릭합니다.
Custom Roles 링크를 클릭하면 프로젝트의 사용자 지정 역할을 볼 수 있습니다.
Specific Privileges 섹션을 확장하고 Specific Privileges 드롭다운 메뉴에서 하나 이상의 권한을 선택합니다.
더 많은 권한을 추가하려면 Add Specific Privilege 을 클릭합니다. 이렇게 하면 개별 데이터베이스 및 컬렉션에 대한 특정 권한이 그룹에 할당됩니다.
적용된 역할 또는 권한을 제거합니다.
- 클릭 Delete 옆에
- 역할 또는 권한을 삭제합니다.
참고
Atlas는 하나의 옵션만 선택한 경우 Built-in Role, Custom Role 또는 Specific Privilege 선택 항목 옆에 Delete 아이콘을 표시하지 않습니다. 다른 역할이나 권한을 적용한 후에는 선택한 역할이나 권한을 삭제할 수 있습니다.
Atlas는 내장 역할, 여러 사용자 지정 역할, 여러 특정 권한을 데이터베이스 그룹에 적용할 수 있습니다.
권한 부여에 대해 자세히 알아보려면 MongoDB 매뉴얼 에서 역할 기반 액세스 제어 및 기본 제공 역할을 참조하세요.
임시 사용자 또는 그룹으로 저장합니다.
Temporary User 또는 Temporary Group 를 On 로 전환하고 Atlas가 Temporary User Duration 또는 Temporary Group Duration 드롭다운에서 사용자 또는 그룹을 삭제할 수 있는 시간을 선택합니다. 그룹이 존재하는 기간에 대해 다음 중 하나를 선택할 수 있습니다.
6시간
1일
1주
Database Users 탭에서 임시 사용자 또는 그룹은 Atlas가 사용자 또는 그룹을 삭제할 때까지 남은 시간을 표시합니다. Atlas가 사용자 또는 그룹을 삭제하면 임시 사용자 또는 그룹의 자격 증명을 사용하는 모든 클라이언트 또는 애플리케이션은 클러스터에 대한 액세스 권한을 잃게 됩니다.
참고
MongoDB 8.0부터 LDAP 인증 및 권한 부여는 더 이상 지원되지 않습니다. 이 기능은 사용할 수 있으며 MongoDB 8의 수명 기간 동안 변경 없이 계속 작동합니다. LDAP는 향후 주요 릴리스에서 제거될 예정입니다.
자세한 내용은 LDAP 사용 중단을 참조하세요.
단계를 따라 LDAP를 사용한 인증을 구성한 다음, LDAP 데이터베이스 사용자 또는 그룹을 추가하는 단계를 따르세요.
데이터베이스 사용자 및 인증서 보기
데이터베이스 사용자 보기
Atlas CLI를 사용하여 프로젝트의 모든 Atlas 데이터베이스 사용자를 나열하려면 다음 명령어를 실행하십시오.
atlas dbusers list [options]
Atlas CLI를 사용하여 지정한 프로젝트에서 단일 Atlas 데이터베이스 사용자에 대한 세부 정보를 반환하려면 다음 명령어를 실행합니다.
atlas dbusers describe <username> [options]
이전 명령의 구문 및 매개변수에 대해 자세히 알아보려면 Atlas CLI 문서에서 Atlas dbusers 목록 및 Atlas dbusers 설명을 참조하세요.
데이터베이스 사용자에 대한 X.509 인증서 보기
Atlas CLI를 사용하여 데이터베이스 사용자에 대해 만료되지 않은 모든 Atlas 관리 인증서를 나열하려면 다음 명령어를 실행합니다.
atlas dbusers certs list <username> [options]
명령 구문 및 매개변수에 관한 자세한 사항은 Atlas CLI 문서에서 Atlas dbusers CERT 목록을 참조하세요.
Atlas Administration API로 Atlas 데이터베이스 사용자를 보려면 모두 가져오기를 참조하세요.
Atlas UI에서 Atlas 데이터베이스 사용자 및 X.509 인증서를 보려면 다음을 수행합니다.
AtlasGo Atlas 에서 프로젝트 의 Database & Network Access 페이지로 고 (Go) 합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Database & Network Access를 클릭합니다.
데이터베이스 & 네트워크 액세스 페이지가 표시됩니다.
데이터베이스 사용자 수정
Atlas CLI를 사용하여 프로젝트에서 데이터베이스 사용자를 삭제하려면 다음 명령어를 실행하십시오.
atlas dbusers update <username> [options]
명령 구문 및 매개변수에 관한 자세한 사항은 Atlas CLI 문서에서 Atlas dbusers 업데이트를 참조하세요.
Atlas 관리 API를 통해 데이터베이스 사용자를 업데이트할 수 있습니다. 자세한 내용은 업데이트 1을 참조하세요.
Atlas 프로젝트의 기존 사용자를 수정하려면 다음을 수행합니다.
AtlasGo Atlas 에서 프로젝트 의 Database & Network Access 페이지로 고 (Go) 합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Database & Network Access를 클릭합니다.
데이터베이스 & 네트워크 액세스 페이지가 표시됩니다.
기존 사용자 수정
아직 표시되지 않은 경우 Database Users 탭을 클릭합니다.
수정하려는 사용자에 대해 Edit을(를) 클릭합니다.
사용자에게 할당된 권한 및 인증 세부 정보를 수정할 수 있습니다. 인증 방법은 수정할 수 없습니다.
다음 표에서는 각 사용자에 대해 수행할 수 있는 작업을 설명합니다.
사용자 유형작업SCRAM 인증 사용자
사용자의 비밀번호를 수정합니다.
X.509 인증서 인증 사용자
새 인증서를 다운로드합니다.
AWS IAM 사용자
데이터베이스 액세스 권한을 수정합니다.
임시 사용자
사용자의 만료일이 아직 지나지 않았다면 사용자가 존재하는 기간을 수정하거나 사용자를 영구 사용자로 설정합니다.
참고
영구 사용자를 임시 사용자로 변경할 수 없습니다. 임시 사용자를 영구 사용자로 변경하면 다시 임시 사용자로 만들 수 없습니다.
Update User을 클릭해 변경 사항을 저장합니다.
데이터베이스 사용자 삭제
Atlas CLI를 사용하여 프로젝트에서 데이터베이스 사용자를 삭제하려면 다음 명령어를 실행하세요.
atlas dbusers delete <username> [options]
명령 구문 및 매개변수에 관한 자세한 사항은 Atlas CLI 문서에서 Atlas dbusers 삭제를 참조하세요.
Atlas Administration API를 통해 데이터베이스 사용자를 삭제할 수 있습니다. 자세한 내용은 단일 삭제를 참조하세요.
Atlas UI를 사용하여 Atlas 프로젝트의 기존 사용자를 삭제하려면 다음을 수행합니다.
AtlasGo Atlas 에서 프로젝트 의 Database & Network Access 페이지로 고 (Go) 합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Database & Network Access를 클릭합니다.
데이터베이스 & 네트워크 액세스 페이지가 표시됩니다.