Join us Sept 17 at .local NYC! Use code WEB50 to save 50% on tickets. Learn more >
MongoDB Event
Menu Docs
Página inicial do Docs
/
Idiomas
/
Go
/
Driver GO
/
Segurança
/
Autenticação

Mecanismo de autenticação IAM do Amazon Web Services

Importante

O mecanismo de autenticação MONGODB-AWS está disponível apenas na versão 4.4 do MongoDB e posterior.

Visão geral

O mecanismo de autenticação do MONGODB-AWS utiliza Credenciais do Amazon Web Services Identity and Access Management (Amazon Web Services IAM) para autenticar um usuário no MongoDB. Você pode usar esse mecanismo somente ao autenticar no MongoDB Atlas.

Dica

Configurar Atlas para Autenticação IAM do Amazon Web Services

Para saber mais sobre como configurar o MongoDB Atlas para autenticação do Amazon Web Services IAM, consulte Configurar a autenticação com o Amazon Web Services IAM na documentação do Atlas .

Especifique a autenticação MONGODB-AWS

Para se conectar a uma instância do MongoDB com a autenticação MONGODB-AWS habilitada, especifique o mecanismo de autenticação MONGODB-AWS.

O driver verifica suas credenciais nas seguintes fontes na ordem listada:

  1. Connection string.

  2. Variáveis de ambiente.

  3. Arquivo de token de identidade da Web.

  4. Amazon Web Services ECS endpoint especificado na variável de ambiente do AWS_CONTAINER_CREDENTIALS_RELATIVE_URI .

  5. Desfecho Amazon Web Services EC2. Para saber mais, consulte Funções de IAM para tarefas na documentação do Amazon Web Services.

Importante

O motorista obtém as credenciais somente da primeira fonte na qual elas são encontradas. Por exemplo, se você especificar suas credenciais do Amazon Web Services na string de conexão, o driver ignorará todas as credenciais especificadas nas variáveis de ambiente.

Dica

Os exemplos seguintes definem as credenciais apropriadas utilizando o método SetAuth() . Você também pode especificar estas credenciais utilizando o método ApplyURI(). Se você usar o método ApplyURI() , deverá codificar o nome de usuário e a senha por URL para garantir que eles sejam analisados corretamente.

Para se conectar à sua instância MongoDB usando suas credenciais AWS IAM, execute as seguintes etapas:

  • Atribua à opção AuthMechanism o valor MONGODB-AWS

  • Atribua à opção Username o valor do seu accessKeyID

  • Atribua à opção Password o valor do seu secretAccessKey

var accessKeyID, secretAccessKey string
awsCredential := options.Credential{
	AuthMechanism: "MONGODB-AWS",
	AuthSource:    "<authenticationDb>",
	Username:      "<accessKeyID>",
	Password:      "<secretAccessKey>",
}
awsIAMClient, err := mongo.Connect(options.Client().SetAuth(awsCredential))
if err != nil {
	panic(err)
}
_ = awsIAMClient

Se você precisar especificar um token de sessão da AWS, use as credenciais temporárias retornadas de uma solicitação de assumir função .

Para utilizar credenciais temporárias, atribua o valor do seu sessionToken à opção AuthMechanismProperties:

var accessKeyID, secretAccessKey, sessionToken string
assumeRoleCredential := options.Credential{
	AuthMechanism: "MONGODB-AWS",
	AuthSource:    "<authenticationDb>",
	Username:      "<accessKeyID>",
	Password:      "<secretAccessKey>",
	AuthMechanismProperties: map[string]string{
		"AWS_SESSION_TOKEN": "<sessionToken>",
	},
}
assumeRoleClient, err := mongo.Connect(options.Client().SetAuth(assumeRoleCredential))

Para autenticar na instância do MongoDB usando credenciais da AWS armazenadas em variáveis de ambiente, use um shell para definir as variáveis da seguinte forma:

export AWS_ACCESS_KEY_ID=<awsKeyId>
export AWS_SECRET_ACCESS_KEY=<awsSecretKey>
export AWS_SESSION_TOKEN=<awsSessionToken>

Observação

Se você não precisar de um token de sessão da AWS para a função com a qual está se autenticando, omita a linha que contém AWS_SESSION_TOKEN.

Depois de definir as variáveis de ambiente anteriores, especifique o mecanismo de autenticação MONGODB-AWS, conforme mostrado no exemplo a seguir:

envVariablesCredential := options.Credential{
	AuthMechanism: "MONGODB-AWS",
}
envVariablesClient, err := mongo.Connect(options.Client().SetAuth(envVariablesCredential))
if err != nil {
	panic(err)
}
_ = envVariablesClient

Você pode usar o token OpenID Connect (OIDC) obtido de um provedor de identidade da web para se autenticar no Amazon Elastic Kubernetes Service (EKS) ou em outros serviços. Para usar um token OIDC, crie ou localize o arquivo que contém seu token. Em seguida, defina as seguintes variáveis de ambiente:

  • AWS_WEB_IDENTITY_TOKEN_FILE: Defina o caminho absoluto do arquivo que contém seu token OIDC.

  • AWS_ROLE_ARN: defina para o role IAM usado para conectar ao seu cluster. Por exemplo: arn:aws:iam::111122223333:role/my-role.

O comando shell a seguir define essas variáveis de ambiente:

export AWS_WEB_IDENTITY_TOKEN_FILE=<absolute path to file that contains OIDC token>
export AWS_ROLE_ARN=<IAM role name>

Depois de definir as variáveis de ambiente anteriores, especifique o mecanismo de autenticação MONGODB-AWS, conforme mostrado no exemplo a seguir:

envVariablesCredential := options.Credential{
	AuthMechanism: "MONGODB-AWS",
}
envVariablesClient, err := mongo.Connect(options.Client().SetAuth(envVariablesCredential))
if err != nil {
	panic(err)
}
_ = envVariablesClient

Documentação da API

Para saber mais sobre qualquer um dos métodos ou tipos discutidos nesta página, consulte a seguinte documentação da API:

Voltar

X.509

Próximo

OIDC

Nesta página