Menu Docs
Página inicial do Docs
/
Atlas
/
Consultar dados federados
/
Começar
/
Configurar uma conexão

AWS Autenticação do IAM

Use um usuário do Amazon Web Services IAM ou ARN de função para autenticar um usuário de banco de dados. Usar o Amazon Web Services IAM reduz o número de mecanismos de autenticação e o número de segredos a serem gerenciados. O Atlas não recebe sua chave secreta de autenticação pela rede e o driver não armazena essa chave permanentemente.

Observação

O Atlas usa o Amazon Web Services STS para verificar a identidade dos usuários e funções do IAM. Amazon Web Services impõe uma cota de solicitação padrão de 600 solicitações por segundo, por conta, por região. Essa cota é aplicada à conta do Amazon Web Services do usuário ou função do IAM.

Configurar Autenticação com Funções Amazon Web Services IAM

Você pode configurar o Amazon Web Services IAM Roles para autenticar os tipos de computação Amazon Web Services em seus Atlas clusters.

Observação

Não é possível configurar a autenticação para entidades do Amazon Web Services IAM quando a autorização LDAP está habilitada.

Se você precisar de autenticação para um principal Amazon Web Services IAM, considere mover os clusters que deseja acessar com a autenticação Amazon Web Services IAM para outro projeto em que a autorização LDAP esteja desabilitada.

No caso do AWS Lambda e HTTP (ECS e EC2), os drivers leem automaticamente as variáveis de ambiente. Para o AWS EKS, você deve atribuir manualmente a função do IAM.

Esta página descreve como AWS Lambda, AWS ECS, e AWS EKS podem se conectar usando um papel AWS IAM.

Observação

Você deve atribuir um role IAM a Lambda, EC2, ECS ou EKS no console do AWS.

O AWS Lambda passa informações para as funções por meio das seguintes variáveis de ambiente se você atribuir uma função de execução à função lambda.

  • AWS_ACCESS_KEY_ID

  • AWS_SECRET_ACCESS_KEY

  • AWS_SESSION_TOKEN

Observação

Você não precisa criar manualmente essas variáveis de ambiente ao usar um role de execução em sua função.

Para saber mais sobre essas variáveis de ambiente, consulte Usando variáveis de ambiente AWS Lambda.

AWS ECS obtém as credenciais do seguinte URI:

http://169.254.170.2${AWS_CONTAINER_CREDENTIALS_RELATIVE_URI}

AWS_CONTAINER_CREDENTIALS_RELATIVE_URI é uma variável de ambiente. Para saber mais, consulte Funções de IAM para tarefas na documentação do Amazon Web Services.

O AWS EC2 obtém as credenciais do Instance Metadata Service V2 no seguinte URL:

http://169.254.169.254/latest/meta-data/iam/security-credentials/

Para saber mais, consulte Executar uma instância com uma função do IAM na documentação do Amazon Web Services.

Para saber como configurar uma função IAM do Amazon Web Services para autenticação com o Amazon Web Services ECS Fargate, consulte a função IAM de execução de tarefas do Amazon ECS na documentação do Amazon Web Services.

Para AWS EKS, você deve primeiro definir o role IAM ao seu pod para configurar as seguintes variáveis de ambiente nesse pod:

  • AWS_WEB_IDENTITY_TOKEN_FILE - contém o caminho para o arquivo do token de identidade da web.

  • AWS_ROLE_ARN - contém a função IAM usada para se conectar ao seu cluster.

Para saber mais sobre o Amazon Web Services EKS, consulte O que é o Amazon EKS? na documentação do Amazon Web Services.

Conceder acesso ao banco de dados a funções do IAM do Amazon Web Services

Para conceder acesso ao banco de dados de dados ao role Amazon Web Services IAM , conclua as etapas descritas na seção Configurar usuários do banco de dados para Amazon Web Services IAM. Para obter mais informações sobre como conceder acesso ao banco de dados de dados usando o Atlas CLI, a API de administração do Atlas ou a UI do Atlas , consulte Adicionar usuários do banco de dados.

Conecte-se ao Atlas Cluster usando Amazon Web Services IAM

Para se conectar ao Atlas com suas credenciais do Amazon Web Services IAM usando mongosh, forneça uma connection string que especifique o mecanismo de autenticação MONGODB-Amazon Web Services . Esse formato de connection string se aplica a todos os mecanismos de autenticação Amazon Web Services IAM.

Importante

Você deve configurar a autenticação usando um dos métodos descritos em Configurar a autenticação com funções do Amazon Web Services IAM antes de poder usar esse formato de string de conexão.

A conexão com o Atlas usando a autenticação AWS IAM com o mongosh requer a versão do shell v0.9.0 ou posterior.

Considere o seguinte:

  • Use suas credenciais de AWS IAM, usando o ID da chave de acesso como nome de usuário e sua chave secreta como senha.

  • O parâmetro de consulta authSource é $external, URL codificado como %24external.

  • O parâmetro de query authMechanism é MONGODB-AWS.

    Exemplo

    mongosh "mongodb+srv://<atlas-host-name>/test?authSource=%24external&authMechanism=MONGODB-AWS" --username <access-key-id> --password <secret-key>

Dica

Funções de IAM para contas de serviço

Voltar

Autenticação

Próximo

LDAP

Nesta página