Menu Docs
Página inicial do Docs
/ /
Autorização e autenticação
Página inicial do Docs
/
Centro de Arquitetura Atlas
/
Segurança
/
Autorização e autenticação
Página inicial do Docs
/
Centro de Arquitetura Atlas
/
Segurança
/
Autorização e autenticação

Orientações para autorização do Atlas

O MongoDB Atlas oferece suporte a uma variedade de métodos de autorização para garantir acesso robusto aos recursos. O Atlas exige que todos os usuários se autentiquem. Uma vez que o usuário é autenticado, a autorização determina o acesso dele aos recursos.

Ao implementar a autorização do Atlas, você deve usar Controle de acesso baseado em função (RBAC). O uso de grupos de usuários de um Provedor de identidade federado com RBAC simplifica o gerenciamento.

As recomendações a seguir aplicam-se tanto aos usuários de força de trabalho (humana) quanto aos de carga de trabalho (aplicativos) em todos os paradigmas de implantação.

RBAC e Funções predefinidas

O Atlas usa o Controle de acesso baseado em função (RBAC) para simplificar o gerenciamento da autorização do usuário. O Atlas inclui funções de usuário predefinidas que fornecem níveis específicos de acesso comumente necessários para gerenciar o Atlas com a IU e as APIs. Para simplificar o gerenciamento, você pode mapear as funções para grupos de provedor de identidade.

Para se conectar a clusters do Atlas, use funções de banco de dados personalizadas detalhadas para fornecer um escopo granular com base no acesso necessário para que a função desempenhe seu papel. Esta abordagem permite que você siga o princípio do privilégio mínimo.

Observação

Você deve sempre restringir o acesso atribuindo as funções RBAC de menor privilégio. Você também deve aplicar restrições de domínio.

Existem dois níveis de funções que você pode atribuir: nível de organização e nível de projeto.

Funções no nível da organização

Funções no nível da organização são utilizadas por contas de serviço para automatizar tarefas como a criação de novos projetos, a gestão de IAM e o faturamento. Elas também podem ser utilizados para membros da equipe da plataforma.

  • A função Organization Owner deve ser fortemente restrita e não deve ser atribuída a um humano, pois possui a capacidade de alterar configurações em toda a organização e excluir configurações. Essa função deve ser atribuída a uma conta de serviço que você usa apenas para parametrizar e configurar inicialmente a organização. Minimize as alterações de configuração após a criação inicial. Para evitar bloqueios de conta, você pode criar os seguintes itens:

    • Grupo de proprietários da organização SAML com acesso jus-in-time.

    • Conta de serviço com a função de Proprietário da organização. Mantenha em um local seguro com forte gerenciamento de acesso para cenários de emergência de quebra de vidro.

  • A função Organization Member deve ser destinada a administradores da equipe de operações e plataforma que possam visualizar as configurações e definições da organização.

  • A função Organization Project Creator deve ser uma conta de serviço programática usada para criar projetos em nome de novos aplicativos para equipes de desenvolvimento e produto.

  • A função Organization Billing Admin deve ser uma conta de serviço programática usada para extrair faturas programaticamente da API de faturamento e inseri-las em sua ferramenta FindOps. Essa mesma conta de serviço deve ter acesso a todas as organizações vinculadas para as quais é responsável por relatar o uso.

Funções no nível do projeto

As funções em nível de projeto são destinadas às equipes de desenvolvimento, teste e produto que são responsáveis pelo desenvolvimento de aplicativo e manutenção. Assim como acontece com as funções no nível da organização, você deve sempre seguir o princípio do privilégio mínimo. Por exemplo, a função Project Owner deve ser usada apenas para governança imposta pela equipe de operações e provisionamento. Como um proprietário de projeto pode criar e excluir clusters, você deve atribuir essa função a uma conta de serviço programática, a menos que esteja trabalhando em um ambiente de sandbox.

Para saber mais sobre funções em nível de projeto, consulte:

Provedores de identidade federados

Ao integrar o Atlas com um provedor de identidade federado, você pode usar o provisionamento just-in-time mapeando grupos do provedor de identidade para funções no Atlas. Isso otimiza o gerenciamento de acesso e assegura atribuições de funções seguras e organizadas em toda a plataforma. Você pode conceder acesso programaticamente com base no processo de provisionamento da camada de orquestração.

Você deve usar um Provedor de identidade federado (FIP) moderno que forneça SSO, como Azure Entra ID, Okta ou Ping Identity. Isso torna o processo de autorização mais seguro e oferece suporte à flexibilidade necessária para atribuir programaticamente grupos de provedor de identidade às funções do Atlas. Você deve restringir o acesso ao domínio da sua empresa, o que impede que os usuários façam login no Atlas quando não estão autorizados a acessar.

Para saber mais sobre o mapeamento de funções para grupos de provedor de identidade federado, consulte Processo de mapeamento de funções.

Acesso Just-in-Time

O Atlas também oferece suporte à criação de usuários temporários de banco de dados que expiram automaticamente após os horários predefinidos. Um usuário pode ser criado por 6 horas, 1 dia ou 1 semana.

Para saber mais, consulte Configurar usuários do banco de dados.

Exemplos

Para exemplos de configuração de autorização, consulte Exemplos de autorização e autenticação.

Voltar

Autenticação

Próximo

Exemplos de autenticação

Nesta página