AtlasFederatedAuth 사용자 지정 리소스
AtlasFederatedAuth 사용자 지정 리소스는 Atlas 조직에 대해 페더레이션 인증 을 구성합니다.
AtlasFederatedAuth 사용자 지정 리소스 를 만들면 Atlas Kubernetes Operator 가 연합 인증 API 리소스 를 사용하여 연합의 조직 구성을업데이트 합니다. 조직 구성에서는 조직 및 역할 매핑과 같은 Atlas 조직 에 대한 페더레이션 설정을 지정합니다.
중요
Custom Resource(사용자 정의 리소스)는 더 이상 기본적으로 객체를 삭제하지 않음
Atlas Kubernetes Operator 사용자 지정 리소스 구성 파일을 사용하여 Atlas 구성을 관리 하지만, Atlas Kubernetes Operator 부터는 Kubernetes 에서 삭제 사용자 지정 2.0 리소스가 더 이상 ( 기본값) Atlas 에서 삭제되지 않습니다. 대신 Atlas Kubernetes Operator Atlas 에서 해당 리소스 관리를 중지할 뿐입니다. 예시 들어, Kubernetes 에서 Custom Resource(사용자
AtlasProject지정 리소스)를 삭제 하면 기본값 으로 Atlas Kubernetes Operator 더 이상 Atlas 에서 해당 프로젝트 자동으로 삭제하지 않습니다. 이러한 동작 변경은 우발적이거나 예기치 않은 삭제를 방지하기 위한 것입니다. 이 동작을 Atlas Kubernetes Operator 이전에 사용된 기본값 으로 되돌리는 2 방법0 등 자세한 학습 새 기본값: Atlas Kubernetes Operator 2 의 삭제0 보호 기능을 참조하세요.마찬가지로, Atlas Kubernetes Operator 를 사용하여 Kubernetes 의 Atlas 프로젝트 에서 팀을 제거 하는 경우 Atlas Kubernetes Atlas Kubernetes Operator 는 Atlas 에서 팀을 삭제 하지 않습니다.
기본값 Atlas 구성 값을 암시적으로 사용하지 않으려면 원하는 구성 세부 정보를 명시적으로 정의하세요. 경우에 따라 Atlas 기본값을 상속하면 조정 루프가 발생하여 사용자 지정 리소스
READY상태 달성하지 못할 수 있습니다. 예시 들어AtlasDeployment사용자 지정 리소스 에 원하는 자동 확장 동작을 명시적으로 정의하면 포함된 예시 와 같이 사용자 지정 리소스 의 정적 인스턴스 크기가 자동 확장이 활성화된 Atlas 배포서버 에 반복적으로 적용되지 않도록 할 수 있습니다.autoScaling: diskGB: enabled: true compute: enabled: true scaleDownEnabled: true minInstanceSize: M30 maxInstanceSize: M40
이 리소스를 사용하려면 Atlas 조직에 연결된 기존 ID 제공자(IdP)가 있어야 합니다. 자세한 내용 은 Kubernetes의 연합 인증 활용을 참조하세요.
예시
다음 예시에서는 다음을 수행하는 AtlasFederatedAuth 사용자 지정 리소스를 구성합니다.
my-org-domain.com을(를) 승인된 도메인으로 추가합니다.조직에 대한 도메인 제한을 활성화합니다.
SSO 에 대한 디버깅을 비활성화합니다.
인증 후 사용자에게
Organization Member역할을 부여합니다.조직의
Organization Owner역할을 매핑하고org-admin이라는 IdP 그룹에 역할 매핑을 적용합니다.이름이
dev-project인 조직의 프로젝트에 대한Organization Project Creator및Project Owner역할을 매핑하고dev-team라는 IdP 그룹에 역할 매핑을 적용합니다.
apiVersion: atlas.mongodb.com/v1 kind: AtlasFederatedAuth metadata: name: atlas-default-federated-auth namespace: mongodb-atlas-system spec: enabled: true dataAccessIdentityProviders: - 32b6e34b3d91647abb20e7b8 - 42d8v92k5a34184rnv93f0c1 connectionSecretRef: name: my-org-secret namespace: mongodb-atlas-system domainAllowList: - my-org-domain.com domainRestrictionEnabled: true ssoDebugEnabled: false postAuthRoleGrants: - ORG_MEMBER roleMappings: - externalGroupName: org-admin roleAssignments: - role: ORG_OWNER - externalGroupName: dev-team roleAssignments: - role: ORG_GROUP_CREATOR - projectName: dev-project role: GROUP_OWNER status: conditions: - type: Ready status: True - type: RolesReady status: True - type: UsersReady status: True
참고
앞의 예에는 업데이트 프로세스를 설명하는 status 섹션이 포함되어 있습니다. 자세한 내용은 프로세스 생성 및 업데이트를 참조하세요.
매개변수
이 섹션에서는 AtlasFederatedAuth 사용자 지정 리소스에 사용할 수 있는 매개변수에 대해 설명합니다. 매개변수에 대한 자세한 설명은 Atlas 페더레이션 인증 API 리소스를 참조하세요.
해당 설명, 이 페이지의 예제, API 문서를 참조하여 사양을 사용자 지정하세요.
metadata.name유형: 문자열
필수 사항
Atlas Kubernetes Operator가 조직에 대한 페더레이션 인증을 구성하는 데 사용하는
AtlasFederatedAuth사용자 지정 리소스를 식별하는 이름입니다.
metadata.namespace유형: 문자열
옵션
AtlasFederatedAuth사용자 지정 리소스를 배포하려는 네임스페이스입니다.
spec.enabled유형: 부울
필수 사항
조직에 대해 페더레이션 인증을 활성화할지 여부를 결정하는 플래그입니다. 기본값은
false입니다.
spec.dataAccessIdentityProviders유형: 목록
옵션
Atlas Kubernetes Operator 조직 에 대한 페더레이션 인증 구성하는 데 사용하는 ID 제공자를 식별하는 문자열 값 목록입니다.
참고
dataAccessIdentityProviders매개변수는 데이터 액세스 에 사용되는 하나 이상의 ID 제공자를 정의합니다. 즉, AtlasDatabaseUser 리소스 에 구성된 대로 실제 MongoDB database 인스턴스에 액세스 데 사용됩니다. 이는 Atlas UI 에 ID 제공자를 사용하여 구성하는 데 사용되는 AtlasFederatedAuth 리소스 의 기존 옵션과 다릅니다.
spec.connectionSecretRef.name유형: 문자열
필수 사항
불투명한 시크릿 의 이름
passwordAtlas Kubernetes Operator가 Atlas에 연결 하는 데 사용하는 조직 ID 및 API 키 가 포함된 단일 필드를 포함합니다. 시크릿을 생성 할 때orgID,publicApiKey및privateApiKey필드를 지정합니다.시크릿의 API 키에는
Organization Owner역할이 있어야 합니다. 시크릿에 권한이 있는 경우에만Organization OwnerAtlasProjectCustom Resource(사용자 지정 리소스 )에서 동일한 시크릿을 사용할 수 있습니다.Atlas Kubernetes Operator는 불필요한 시크릿 을 감시하지
atlas.mongodb.com/type=credentials않기 위해 레이블이 있는 시크릿 만 감시합니다. .다음 예시에서는 시크릿에 레이블을 지정합니다.
kubectl label secret the-user-password atlas.mongodb.com/type=credentials 참고
기본적으로 Atlas Kubernetes Operator는 동일한 네임스페이스 에 연결 비밀을
AtlasProject유지합니다. Custom Resource(사용자 지정 리소스) . 다른 네임스페이스 에 시크릿을 저장하려면 spec.connectionSecretRef.namespace 매개변수를 지정합니다.
spec.connectionSecretRef.namespace유형: 문자열
옵션
네임스페이스 비밀 이 포함된 Atlas Kubernetes Operator가 Atlas에 연결 하는 데 사용하는 조직 ID 및 API 키 를 사용합니다. 이 매개변수를 생략하거나 지정하지 않으면 Atlas Kubernetes Operator가 동일한
AtlasProject네임스페이스 에 연결 비밀을 유지합니다. Custom Resource(사용자 지정 리소스)로 지정합니다.
spec.domainAllowList유형: 문자열 배열
옵션
이메일 주소를 기반으로 조직에 가입할 수 있는 사용자를 제한하는 승인된 도메인입니다.
spec.domainRestrictionEnabled유형: 부울
필수 사항
연결된 조직에 대해 도메인 제한이 활성화되어 있는지 여부를 나타내는 플래그입니다. 기본값은
false입니다.이 매개 변수를
true로 설정하면 Atlas는 페더레이션 외부 조직에 속한 사용자 목록을 반환합니다. 자세한 내용은 사용자 충돌을 참조하세요.
spec.ssoDebugEnabled유형: 부울
옵션
ID 제공자가 SSO 에 대해 디버그를 활성화했는지 여부를 나타내는 플래그입니다. 기본값은
false입니다.
spec.postAuthRoleGrants유형: 문자열 배열
옵션
인증 후 이 조직의 사용자에게 부여되는 Atlas 역할. 예시는 다음과 같습니다.
ORG_MEMBERORG_READ_ONLYORG_BILLING_ADMINORG_GROUP_CREATORORG_OWNERORG_BILLING_READ_ONLYORG_TEAM_MEMBERS_ADMIN
허용되는 값의 전체 목록은 페더레이션 인증 API 리소스를 참조하세요.
spec.roleMappings유형: 객체 배열
옵션
이 조직에 구성된 역할 매핑입니다.
spec.roleMappings.roleAssignments 매개 변수에는 현재 조직 또는 조직의 프로젝트 내 조직 역할이 하나 이상 포함되어야 합니다.
spec.roleMappings.externalGroupName유형: 문자열
필수 사항
이 역할 매핑이 적용되는 멱등 그룹을 식별하는 사람이 읽을 수 있는 고유한 레이블입니다.
spec.roleMappings.roleAssignments유형: 객체 배열
옵션
Atlas 역할 및 각 역할과 연결된 그룹 및 조직의 고유 식별자입니다. 이 매개변수에는 현재 조직 또는 조직의 프로젝트 내 조직 역할이 하나 이상 포함되어야 합니다.
spec.roleMappings.roleAssignments.projectName유형: 문자열
옵션
동일한 조직에 역할을 연결할 Atlas 프로젝트가 있어야 합니다.
spec.roleMappings.roleAssignments.role유형: 문자열
옵션
Atlas가 특정 API 키, 사용자 또는 팀에 부여하는 권한 collection을 식별하는 인간 판독 가능 레이블. 이러한 역할에는 조직 및 프로젝트 수준 권한이 포함됩니다.
Atlas Kubernetes Operator에서는 다음 값을 허용합니다.
ORG_MEMBERORG_READ_ONLYORG_BILLING_ADMINORG_GROUP_CREATORORG_OWNERORG_BILLING_READ_ONLYORG_TEAM_MEMBERS_ADMINGROUP_AUTOMATION_ADMINGROUP_BACKUP_ADMINGROUP_MONITORING_ADMINGROUP_OWNERGROUP_READ_ONLYGROUP_USER_ADMINGROUP_BILLING_ADMINGROUP_DATA_ACCESS_ADMINGROUP_DATA_ACCESS_READ_ONLYGROUP_DATA_ACCESS_READ_WRITEGROUP_CHARTS_ADMINGROUP_CLUSTER_MANAGERGROUP_SEARCH_INDEX_EDITOR