Crie usuários de banco de dados para fornecer aos clientes acesso aos clusters em seu projeto.
O acesso de um usuários de banco de dados é determinado pelos roles atribuídos ao usuário. Quando você cria um usuário de banco de dados , qualquer um dos roles internos adiciona o usuário a todos os clusters em seu projeto Atlas . Para especificar quais recursos um usuário de banco de dados pode acessar em seu projeto, você pode selecionar a opção Restrict Access to Specific Clusters na interface do usuário do Atlas ou definir privilégios específicos e funções personalizadas.
Os usuários do banco de dados são separados dos usuários do Atlas. Os usuários do banco de dados têm acesso aos bancos de dados MongoDB, enquanto os usuários Atlas têm acesso ao próprio aplicativo Atlas. O Atlas oferece suporte à criação de usuários temporários de banco de dados que expiram automaticamente dentro de um período de 7 dias configurável pelo usuário.
O Atlas audita a criação, exclusão e atualizações dos usuários de banco de dados na lista de atividades do projeto. O Atlas audita ações relativas aos usuários temporários e não temporários de banco de dados.
Para visualizar o Feed de atividades do projeto:
No Atlas, acesse a página Project Activity Feed.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Na barra lateral, clique em Activity Feed abaixo do cabeçalho Security.
A página Feed de atividades do projeto é exibida.
Para obter mais informações sobre o Feed de atividades do projeto, consulte Exibir todas as atividades.
O Atlas suporta um máximo de 100 usuários de banco de dados por projeto Atlas por padrão. Se você precisar de mais de 100 usuários de banco de dados em um projeto, pode usar a Atlas Administration API para aumentar o limite. Para obter assistência, contate o suporte do Atlas.
Importante
Você deve usar o Atlas CLI, Administration API, IU do Atlas ou uma integração compatível para adicionar, modificar ou excluir usuários de banco de dados em clusters do Atlas. Caso contrário, o Atlas reverte todas as modificações do usuário.
Autenticação do utilizador de banco de dados
O Atlas (+adf+) oferece as seguintes formas de autenticação para usuários do banco de dados :
SCRAM é o método-padrão de autenticação do MongoDB e requer uma senha para cada usuário.
O banco de dados de autenticação para usuários autenticados do SCRAM é o banco de dados admin.
Observação
Por padrão, o Atlas suporta autenticação SCRAM-SHA-256. Se você criou um usuário antes do MongoDB 4.0, deverá atualizar o MongoDB 4.0, atualize suas senhas para gerar credenciais SCRAM-SHA-256. Você pode reutilizar senhas existentes.
Os certificados X.509, também conhecidos como TLS mútuo ou mTLS, permitem autenticação sem senha usando um certificado confiável.
O banco de dados de autenticação para usuários autenticados do X.509 é o banco de dados do $external.
Se você habilitar a autorização LDAP, não poderá se conectar aos seus clusters com usuários que se autenticam com um certificado X.509 gerenciado pelo Atlas. Para ativar o LDAP e conectar-se aos seus clusters com usuários X.509, consulte Configurar certificados X.509 autogerenciados.
Você pode criar um usuário de banco de dados que usa um AWS IAM ARN de usuário ou função para autenticação.
O banco de dados de autenticação para usuários autenticados do AWS IAM é o banco de dados do $external.
A autenticação do AWS IAM está disponível apenas em clusters que usam o MongoDB versão 7.0 ou posterior.
Adicionar usuários do banco de dados
Um projeto pode ter usuários com métodos de autenticação diferentes.
Você não pode alterar o método de autenticação de um usuário após criá-lo. Para usar um método de autenticação alternativo, você deve criar um novo usuário.
O Atlas CLI utiliza os seguintes comandos para criar novos utilizadores de banco de dados e certificados X.509. As opções especificadas determinam o método de autenticação.
Para criar um utilizador de banco de dados para seu projeto utilizando o Atlas CLI, execute o seguinte comando:
atlas dbusers create [builtInRole]... [options]
Para criar um novo certificado X.509 gerenciado pelo Atlas para o utilizador de banco de dados especificado utilizando o Atlas CLI, execute o seguinte comando:
atlas dbusers certs create [options]
Para saber mais sobre a sintaxe e os parâmetros dos comandos anteriores, consulte a documentação do Atlas CLI para atlas dbusers create e atlas dbusers certs create.
Você pode adicionar usuários de banco de dados através da Atlas Administration API. As opções que você especifica determinam o método de autenticação. Para saber mais, consulte criar um usuário de banco de dados.
Selecione um mecanismo de autenticação e siga as etapas para criar um novo usuário do banco de dados com a IU do Atlas.
No Atlas, váGo para a Database & Network Access página do seu projeto.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Database & Network Access sob o título Security.
A página Acesso ao banco de dados e à rede é exibida.
Insira as informações do usuário.
Em Password Authentication, existem dois campos de texto.
Insira um nome de usuário para o novo usuário no campo de texto superior.
Digite uma senha para o novo usuário no campo de texto inferior.
Para usar uma senha gerada automaticamente pelo Atlas, clique no botão Autogenerate Secure Password.
Atribuir privilégios.
Selecione os privilégios do usuário do banco de dados. Você pode atribuir privilégios ao novo usuário das seguintes maneiras:
Selecione uma função integrada no menu suspenso Built-in Role. Você pode selecionar uma função integrada por usuário do banco de dados dentro da IU do Atlas. Se você excluir a opção padrão, você poderá clicar em Add Built-in Role para selecionar uma nova função integrada.
Se você tiver alguma função personalizada definida, poderá expandir a seção Custom Roles e selecionar uma ou mais funções no menu suspenso Custom Roles. Clique em Add Custom Role para adicionar mais funções personalizadas. Você também pode clicar no link Custom Roles para visualizar os papéis personalizados para seu projeto.
Expanda a seção Specific Privileges e selecione um ou mais privilégios do menu suspenso Specific Privileges. Clique em Add Specific Privilege para adicionar mais privilégios. Isso atribui ao usuário privilégio específicos em banco de dados e coleção individuais.
O Atlas pode aplicar uma função integrada, múltiplas funções personalizadas e múltiplos privilégios específicos a um único usuário do banco de dados.
Para remover uma função ou privilégio aplicado, clique em Delete ao lado da função ou privilégio que você deseja excluir.
Observação
O Atlas não exibe o ícone Delete ao lado de sua seleção Built-in Role, Custom Role ou Specific Privilege se você tiver selecionado apenas uma opção. Você pode excluir o papel ou privilégio selecionado após aplicar outro papel ou privilégio.
Para obter mais informações sobre autorização, consulte Controle de acesso baseado em funções e Funções integradas no manual do MongoDB.
Especifique os recursos no projeto que o usuário pode acessar.
Por padrão, os usuários podem acessar todos os clusters e instâncias do banco de dados federado no projeto. Você pode restringir o acesso a clusters específicos e instâncias de bancos de dados federados fazendo o seguinte:
Alterne Restrict Access to Specific Clusters/Federated Database Instances para ON.
Selecione os clusters e as instâncias de banco de dados federados aos quais conceder acesso ao usuário na lista Grant Access To.
Salve como usuário temporário.
Alterne Temporary User para On e escolha um tempo após o qual o Atlas pode excluir o usuário da lista suspensa Temporary User Duration. Você pode selecionar um dos seguintes períodos para o usuário existir:
6 horas
1 dia
1 semana
Na aba Database Users, os usuários temporários exibem o tempo restante até que o Atlas exclua o usuário. Depois que o Atlas exclui o usuário, qualquer cliente ou aplicativo que usa as credenciais do usuário temporário perde o acesso ao cluster.
No Atlas, váGo para a Database & Network Access página do seu projeto.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Database & Network Access sob o título Security.
A página Acesso ao banco de dados e à rede é exibida.
Insira as informações do usuário.
Campo | Descrição | |
|---|---|---|
Common Name | O Nome Comum (CN) do usuário protegido pelo certificado TLS/SSL. Para mais informações, consulte RFC 2253. Por exemplo, se o seu nome comum for " Jane Doe ", sua organização for "MongoDB" e seu país for "US", insira o seguinte no campo Common Name : | |
User Privileges | Você pode atribuir funções de uma das seguintes maneiras:
Para mais informações sobre os privilégios de Atlas embutidos, consulte Funções embutidas. Para obter mais informações sobre autorização, consulte Controle de acesso baseado em funções e Funções integradas no manual do MongoDB. |
No Atlas, váGo para a Database & Network Access página do seu projeto.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Database & Network Access sob o título Security.
A página Acesso ao banco de dados e à rede é exibida.
Atribuir privilégios.
Selecione os privilégios do usuário do banco de dados. Você pode atribuir privilégios ao novo usuário das seguintes maneiras:
Selecione uma função integrada no menu suspenso Built-in Role. Você pode selecionar uma função integrada por usuário do banco de dados dentro da IU do Atlas. Se você excluir a opção padrão, você poderá clicar em Add Built-in Role para selecionar uma nova função integrada.
Se você tiver alguma função personalizada definida, poderá expandir a seção Custom Roles e selecionar uma ou mais funções no menu suspenso Custom Roles. Clique em Add Custom Role para adicionar mais funções personalizadas. Você também pode clicar no link Custom Roles para visualizar os papéis personalizados para seu projeto.
Expanda a seção Specific Privileges e selecione um ou mais privilégios do menu suspenso Specific Privileges. Clique em Add Specific Privilege para adicionar mais privilégios. Isso atribui ao usuário privilégio específicos em banco de dados e coleção individuais.
O Atlas pode aplicar uma função integrada, múltiplas funções personalizadas e múltiplos privilégios específicos a um único usuário do banco de dados.
Para remover uma função ou privilégio aplicado, clique em Delete ao lado da função ou privilégio que você deseja excluir.
Observação
O Atlas não exibe o ícone Delete ao lado de sua seleção Built-in Role, Custom Role ou Specific Privilege se você tiver selecionado apenas uma opção. Você pode excluir o papel ou privilégio selecionado após aplicar outro papel ou privilégio.
Para obter mais informações sobre autorização, consulte Controle de acesso baseado em funções e Funções integradas no manual do MongoDB.
Especifique os recursos no projeto que o usuário pode acessar.
Por padrão, os usuários podem acessar todos os clusters e instâncias do banco de dados federado no projeto. Você pode restringir o acesso a clusters específicos e instâncias de bancos de dados federados fazendo o seguinte:
Alterne Restrict Access to Specific Clusters/Federated Database Instances para ON.
Selecione os clusters e as instâncias de banco de dados federados aos quais conceder acesso ao usuário na lista Grant Access To.
Salve como usuário temporário.
Alterne Temporary User para On e escolha um tempo após o qual o Atlas pode excluir o usuário da lista suspensa Temporary User Duration. Você pode selecionar um dos seguintes períodos para o usuário existir:
6 horas
1 dia
1 semana
Na aba Database Users, os usuários temporários exibem o tempo restante até que o Atlas exclua o usuário. Depois que o Atlas exclui o usuário, qualquer cliente ou aplicativo que usa as credenciais do usuário temporário perde o acesso ao cluster.
Exemplo de string de conexão do AWS IAM
A conexão com o Atlas usando a autenticação AWS IAM com o mongosh requer a versão do shell v0.9.0 ou posterior.
Considere o seguinte:
Use suas credenciais de AWS IAM, usando o ID da chave de acesso como nome de usuário e sua chave secreta como senha.
O parâmetro de consulta
authSourceé$external, URL codificado como%24external.O parâmetro de query
authMechanisméMONGODB-AWS.Exemplo
mongosh "mongodb+srv://<atlas-host-name>/test?authSource=%24external&authMechanism=MONGODB-AWS" --username <access-key-id> --password <secret-key>
No Atlas, váGo para a Database & Network Access página do seu projeto.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Database & Network Access sob o título Security.
A página Acesso ao banco de dados e à rede é exibida.
Abra a caixa de diálogo Add New Database User or Group.
Clique em Add New Database User or Group.
Observação
Até que você aplique seu IdP do Workforce ao Atlas, esse botão diz Add New Database User.
Selecione Federated Auth.
Na seção Authentication Method, selecione Federated Auth.
Observação
Até habilitar o Workforce IdP para sua organização, você não poderá selecionar essa caixa.
Selecione o fornecedor de identidade e identificador
a. Na seção Select Identity Provider , selecione um provedor de identidade OIDC configurado.
Especifique o identificador de usuário ou o identificador de grupo associado ao seu Workforce Identity Provider configurado.
Observação
Para usuários do Azure Entra ID, esse valor é mapeado para o ID do objeto do seu grupo de usuários do Azure em vez do nome do grupo de usuários.
Atribuir privilégios de usuário ou grupo.
Para atribuir privilégios ao novo usuário ou grupo, faça uma ou mais das seguintes tarefas:
Selecione uma função embutida no Built-in Role menu suspenso.
Você pode selecionar um papel embutido por grupo de banco de dados na UI do Atlas.
Se você excluir a opção padrão, você poderá clicar em Add Built-in Role para selecionar um novo papel embutido.
Selecione ou adicione funções personalizadas.
Se você tiver alguma função personalizada definida, poderá expandir a seção Custom Roles e selecionar uma ou mais funções no menu suspenso Custom Roles .
Clique em Add Custom Role para adicionar mais funções personalizadas.
Clique no link Custom Roles para visualizar os papéis personalizados para seu projeto.
Adicionar privilégios.
Expanda a seção Specific Privileges e selecione um ou mais privilégios do Specific Privileges menu suspenso.
Clique em Add Specific Privilege para adicionar mais privilégios. Isso atribui privilégios específicos do grupo em bancos de dados e coleções individuais.
Remova uma função ou privilégio aplicado.
- Clique em Delete ao lado do
- função ou privilégio a ser excluído.
Observação
O Atlas não exibe o ícone Delete ao lado de sua seleção Built-in Role, Custom Role ou Specific Privilege se você tiver selecionado apenas uma opção. Você pode excluir o papel ou privilégio selecionado após aplicar outro papel ou privilégio.
O Atlas pode aplicar um papel embutido, múltiplos papéis personalizados e múltiplos privilégios específicos para um grupo do banco de dados.
Para saber mais sobre autorização, consulte Controle de acesso baseado em funções e Funções incorporadas no manual MongoDB.
Especifique os recursos no projeto que o usuário ou grupo pode acessar.
Por padrão, os grupos podem acessar todos os clusters e instâncias do banco de dados federado no projeto. Para restringir o acesso a clusters específicos e instâncias do banco de dados federado:
Alterne Restrict Access to Specific Clusters/Federated Database Instances para On.
Selecione os clusters e as instâncias de banco de dados federados aos quais conceder acesso ao grupo na lista Grant Access To.
Salve como usuário ou grupo temporário.
Alterne Temporary User ou Temporary Group para On e escolha um tempo após o qual o Atlas pode excluir o usuário ou grupo a partir da lista suspensa Temporary User Duration ou Temporary Group Duration . Você pode selecionar um dos seguintes períodos para o grupo existir:
6 horas
1 dia
1 semana
Na guia Database Users , usuários ou grupos temporários exibem o tempo restante até que o Atlas exclua os usuários ou grupo. Depois que o Atlas exclui o usuário ou grupo, qualquer cliente ou aplicativo que use as credenciais temporárias do usuário ou grupo perde o acesso ao cluster.
Observação
Começar com MongoDB 8.0, A autenticação e autorização LDAP estão obsoletas. O recurso está disponível e continuará a operar sem alterações durante toda a vida útil do MongoDB 8. O LDAP será removido em uma versão principal futura.
Para obter detalhes, consulte Descontinuação do LDAP.
Siga as etapas para Configurar autenticação com LDAP e, em seguida, siga as etapas para Adicionar um usuário ou grupo de banco de dados LDAP.
Exibir usuários e certificados do banco de dados
Visualizar usuários de banco de dados
Para listar todos os usuários do banco de dados do Atlas para seu projeto utilizando a Atlas CLI, execute o seguinte comando:
atlas dbusers list [options]
Para retornar os detalhes de um usuário do banco de dados Atlas no projeto que você especifica utilizando a Atlas CLI, execute o seguinte comando:
atlas dbusers describe <username> [options]
Para saber mais sobre a sintaxe e os parâmetros dos comandos anteriores, consulte a documentação do Atlas CLI para atlas dbusers list e atlas dbusers describe.
Ver certificados X.509 para um utilizador de banco de dados
Para listar todos os certificados não expirados gerenciados pelo Atlas para um usuário de banco de dados utilizando a Atlas CLI, execute o seguinte comando:
atlas dbusers certs list <username> [options]
Para saber mais sobre a sintaxe do comando e parâmetros, consulte a documentação do Atlas CLI para atlas dbusers certs list.
Para visualizar usuários de banco de dados do Atlas usando a Atlas Administration API, consulte obter tudo.
Para exibir usuários do banco de dados do Atlas e certificados X.509 na interface do usuário do Atlas:
No Atlas, váGo para a Database & Network Access página do seu projeto.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Database & Network Access sob o título Security.
A página Acesso ao banco de dados e à rede é exibida.