Para agentes de IA: um índice de documentação está disponível em https://www.mongodb.com/pt-br/docs/llms.txt — as versões de markdown de todas as páginas estão disponíveis anexando .md a qualquer caminho de URL.
Menu Docs

Orientações para autorização do Atlas

O MongoDB Atlas oferece suporte a uma variedade de métodos de autorização para garantir acesso robusto aos recursos. O Atlas exige que todos os usuários se autentiquem. Uma vez que o usuário é autenticado, a autorização determina o acesso dele aos recursos.

Ao implementar a autorização do Atlas, você deve usar o RBAC (Controle de Acesso Baseado em Função). O uso de grupos de usuários de um provedor de identidade federado com RBAC simplifica o gerenciamento.

As recomendações a seguir se aplicam tanto à força de trabalho (Humana) quanto aos usuários do Volume de trabalho (aplicação) em todos os paradigmas de sistema.

Observação

O Modelo de responsabilidade compartilhada do MongoDB Atlas define os direitos complementares do MongoDB e de seus clientes em manter um ambiente de dados seguro e resiliente. Nesse framework, o MongoDB gerencia a segurança e a integridade operacional da plataforma subjacente, enquanto os clientes são responsáveis pelas políticas de configuração, gerenciamento e dados de suas implantações específicas. Para obter uma análise detalhada da propriedade em segurança e segurança operacional, consulte Modelo de responsabilidade compartilhada.

O Atlas usa o RBAC (controle de acesso baseado em roles) para simplificar o gerenciamento da autorização do usuário. O Atlas inclui funções de usuário predefinidas que fornecem níveis específicos de acesso comumente necessários para gerenciar o Atlas com a UI e as APIs. Para simplificar o gerenciamento, mapeie as funções para grupos de IdP.

Para se conectar a clusters do Atlas, use funções de banco de dados personalizadas detalhadas para fornecer um escopo granular com base no acesso necessário para que a função desempenhe seu papel. Esta abordagem permite que você siga o princípio do privilégio mínimo.

Observação

Você deve sempre restringir o acesso atribuindo as funções RBAC de menor privilégio. Você também deve aplicar restrições de domínio.

Existem dois níveis de funções que você pode atribuir: nível de organização e nível de projeto.

Funções no nível da organização são utilizadas por contas de serviço para automatizar tarefas como a criação de novos projetos, a gestão de IAM e o faturamento. Elas também podem ser utilizados para membros da equipe da plataforma.

  • A função Organization Owner deve ser altamente restrita e não atribuída a um ser humano, pois ela tem a capacidade de alterar as configurações de toda a organização e excluir configurações. Essa role deve ser atribuída a uma conta de serviço que você usa apenas para instalar e configurar inicialmente a organização. Minimize as alterações de configuração após a criação inicial. Para evitar bloqueios de conta, você pode criar os seguintes itens:

    • Grupo de proprietários da organização SAML com acesso jus-in-time.

    • Conta de serviço com a função de Proprietário da organização. Mantenha em um local seguro com forte gerenciamento de acesso para cenários de emergência de quebra de vidro.

  • A função Organization Member deve ser destinada a administradores da equipe de operações e plataforma que possam visualizar as configurações e definições da organização.

  • A função Organization Project Creator deve ser uma conta de serviço programática usada para criar projetos em nome de novos aplicativos para equipes de desenvolvimento e produto.

  • A função Organization Billing Admin deve ser uma conta de serviço programática usada para extrair faturas programaticamente da API de faturamento e inseri-las em sua ferramenta FindOps. Essa mesma conta de serviço deve ter acesso a todas as organizações vinculadas para as quais é responsável por relatar o uso.

As funções em nível de projeto são destinadas às equipes de desenvolvimento, teste e produto que são responsáveis pelo desenvolvimento de aplicativo e manutenção. Assim como acontece com as funções no nível da organização, você deve sempre seguir o princípio do privilégio mínimo. Por exemplo, a função Project Owner deve ser usada apenas para governança imposta pela equipe de operações e provisionamento. Como um proprietário de projeto pode criar e excluir clusters, você deve atribuir essa função a uma conta de serviço programática, a menos que esteja trabalhando em um ambiente de sandbox.

Para saber mais sobre funções em nível de projeto, consulte:

Ao integrar o Atlas com um provedor de identidade federado, você pode usar o provisionamento just-in-time mapeando grupos do provedor de identidade para funções no Atlas. Isso otimiza o gerenciamento de acesso e assegura atribuições de funções seguras e organizadas em toda a plataforma. Você pode conceder acesso programaticamente com base no processo de provisionamento da camada de orquestração.

Você deve usar um provedor de identidade federado (FIP) moderno que forneça SSO, como o Azure Entra ID, o Okta ou o Ping Identity. Isso torna o processo de autorização mais seguro e oferece a flexibilidade necessária para atribuir grupos de IdP programaticamente às funções do Atlas. Você deve restringir o acesso ao domínio da sua empresa, que impede que os usuários façam login no Atlas quando não estão autorizados a acessar.

Para saber mais sobre o mapeamento de funções para grupos de provedor de identidade federado, consulte Processo de mapeamento de funções.

O Atlas também oferece suporte à criação de usuários temporários de banco de dados que expiram automaticamente após os horários predefinidos. Um usuário pode ser criado por 6 horas, 1 dia ou 1 semana.

Para saber mais, consulte Configurar usuários do banco de dados.

Para exemplos de configuração de autorização, consulte Exemplos de autorização e autenticação.