Docs 菜单
Docs 主页
/ /
配置访问权限
Docs 主页
/ /
API
/
配置访问权限
Docs 主页
/
管理
/
Cloud Manager
/
Cloud Manager
/
API
/
配置访问权限

使用服务帐号以编程方式访问Cloud Manager

要仅使用 API 向组织或项目授予编程访问权限,请创建 API 密钥或服务帐号。这可确保提供服务户名和密码的密钥和访问权限令牌永远不会通过网络发送。API密钥和服务帐户:

  • 不能用于通过用户界面日志Cloud Manager 。

  • 必须像授予用户一样被授予角色,以确保API密钥和服务帐户可以调用API端点而不会出错。

  • 属于一个组织,但可被授予对该组织中任意数量项目的访问权限。

要学习;了解有关这两种身份验证方法的更多信息,请参阅身份验证。

管理对组织的编程访问

注意

所需权限

您可以查看具有任何角色的组织的编程访问权限。

要执行任何其他动作,您必须具有Organization Owner 角色。

为组织授予编程访问权限

使用以下过程,通过API密钥或服务帐户向组织授予编程访问权限。要学习;了解有关这两种身份验证方法的更多信息,请参阅身份验证。

1

MongoDB Cloud ManagerGo在MongoDBApplications Cloud Manager中,Go您组织的 页面。

  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 在侧边栏中,单击 Identity & Access 标题下的 Applications`

显示应用程序页面。

2

单击Add newApplicationService Account

3

输入服务帐户信息。

  1. 输入一个 Name

  2. 输入一个 Description

  3. Client Secret Expiration(客户端密钥到期)菜单中选择持续时间。

  4. Organization Permissions(组织权限)菜单中,为服务帐户选择一个或多个新角色

4

单击 Create(保存并关闭)。

5

复制并保存 Client Secret(公共密钥)。

客户端密钥在创建访问令牌时充当密码。

警告

只有在这个时候,您才能查看完整的客户机密。点击 Copy(复制)并将其保存到安全位置。否则,您需要生成新的客户端机密。

6

添加一个 API Access List Entry(API 访问列表条目)。

  1. 单击 Add Access List Entry(连接)。

  2. 输入您希望Cloud Manager接受针对该服务帐号的API请求的IP解决或 APIIPCIDR区块。Cloud Manager

    Use Current IP AddressCloud ManagerAPI如果用于访问权限Cloud Manager的托管也将使用此服务帐号发出API请求,则也可以单击 。

  3. 单击 Save(连接)。

1

MongoDB Cloud ManagerGo在MongoDBApplications Cloud Manager中,Go您组织的 页面。

  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 在侧边栏中,单击 Identity & Access 标题下的 Applications`

显示应用程序页面。

2

单击Add newApplicationAPI Key

3

填写API Key Information 表单。

Add API Key页面的API Key Information步骤中:

字段

说明

输入新API密钥的描述。

组织权限

API 密钥选择一个 或多个新角色 。

4

单击 Next(保存并关闭)。

5

为此 API 密钥添加访问列表值。

Add API Key页面的Private Key & Access List步骤中,单击Add Access List Entry

对于此API密钥,您可以选择:

  • 输入 Cloud Manager 应接受 API 请求的 IPv4 地址,或者

  • 如果您用于访问 Cloud Manager 的主机将发出API请求,请单击Use Current IP Address

6

单击 Save(保存并关闭)。

警告

在离开此页面之前复制私钥

Cloud Manager 会显示Private Key一次:在此页面上。 单击Copy将私钥添加到剪贴板。 像保护任何其他密码一样保存和保护此私钥。

查看对组织的编程访问权限

您可以查看有权访问权限组织的所有API密钥或服务帐户的详细信息。

1

MongoDB Cloud ManagerGo在MongoDBApplications Cloud Manager中,Go您组织的 页面。

  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 在侧边栏中,单击 Identity & Access 标题下的 Applications`

显示应用程序页面。

2

单击 Applications(私有端点)标签页。

3

单击 Service Accounts(保存并关闭)。

列出有权访问权限组织的所有服务帐户。

单击服务帐户名称可查看其详细信息,包括:

  • 服务帐户的混淆客户端密钥

  • 上次使用客户端密钥的日期

  • 创建客户端密钥的日期

  • 服务帐户可以访问权限API的IP地址

  • 已为服务帐户分配的角色

1

MongoDB Cloud ManagerGo在MongoDBApplications Cloud Manager中,Go您组织的 页面。

  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 在侧边栏中,单击 Identity & Access 标题下的 Applications`

显示应用程序页面。

2

单击 API Keys(保存并关闭)。

3

导航至View Details

  1. API密钥旁边,单击

  2. 单击 View Details(连接)。

    <Public Key> API Key Details模式显示:

    • 混淆Private Key

    • 上次使用密钥的日期。

    • 密钥的创建日期。

    • 密钥位于访问列表中的IPv4地址。

    • 已授予密钥访问权限的项目。

更新对组织的编程访问权限

您可以更改组织中API密钥或服务帐户的角色、描述或访问权限列表。您还可以为服务帐户生成新的客户端密钥。

1

MongoDB Cloud ManagerGo在MongoDBApplications Cloud Manager中,Go您组织的 页面。

  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 在侧边栏中,单击 Identity & Access 标题下的 Applications`

显示应用程序页面。

2

单击 Service Accounts(保存并关闭)。

3

单击服务帐户的名称。

4

编辑Service Account Info

要修改NameDescription ,请单击

5

生成新的客户端密钥。

  1. 单击 Generate New Client Secret

  2. 从菜单中选择客户端密钥的持续时间。 客户端密钥在此持续时间后过期。

  3. 单击 Generate New(连接)。

  4. 单击 Copy 并将客户端密钥保存到安全位置。这是您唯一一次可以查看完整的客户端密钥。

6

编辑Organization Permissions

  1. 单击 Edit Permissions(连接)。

  2. Organization Permissions 菜单中,为服务帐户选择一个或多个新角色。

  3. 单击 Save and next(连接)。

    重要

    服务帐户凭证将保持活动状态,直到过期或被用户撤销。

7

编辑API Access List

  1. 要添加您希望Cloud Manager接受针对此服务帐号的API请求的IP解决或 APIIPCIDR区块,请单击 Cloud ManagerAdd Access List EntryIP并键入IP解决。

    Use Current IP AddressCloud ManagerAPI如果用于访问权限Cloud Manager的托管也将使用此服务帐号发出API请求,则也可以单击 。

  2. 要从访问权限列表中删除IP解决,请单击IP解决右侧。

  3. 单击 Save(连接)。

1

MongoDB Cloud ManagerGo在MongoDBApplications Cloud Manager中,Go您组织的 页面。

  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 在侧边栏中,单击 Identity & Access 标题下的 Applications`

显示应用程序页面。

2

单击 API Keys(保存并关闭)。

3

选择要编辑的 API 密钥。

  1. 单击在要更改的API密钥旁边。

  2. 单击 Edit(连接)。

4

填写API Key Information 表单。

Add API Key页面的API Key Information步骤中:

字段

说明

输入新API密钥的描述。

组织权限

API 密钥选择一个 或多个新角色 。

5

单击 Next(保存并关闭)。

6

为此 API 密钥添加访问列表值。

Add API Key页面的Private Key & Access List步骤中,单击Add Access List Entry

对于此API密钥,您可以选择:

  • 输入 Cloud Manager 应接受 API 请求的 IPv4 地址,或者

  • 如果您用于访问 Cloud Manager 的主机将发出API请求,请单击Use Current IP Address

7

单击 Save(保存并关闭)。

警告

在离开此页面之前复制私钥

Cloud Manager 会显示Private Key一次:在此页面上。 单击Copy将私钥添加到剪贴板。 像保护任何其他密码一样保存和保护此私钥。

撤销对组织的编程访问权限

1

MongoDB Cloud ManagerGo在MongoDBApplications Cloud Manager中,Go您组织的 页面。

  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 在侧边栏中,单击 Identity & Access 标题下的 Applications`

显示应用程序页面。

2

单击 Service Accounts(保存并关闭)。

3

删除服务帐户。

  1. Actions单击要删除的服务帐户右侧 下的图标。

  2. 单击 Delete(连接)。

从组织中删除服务帐户还会将其从服务帐户被授予访问权限的任何项目中删除。

1

MongoDB Cloud ManagerGo在MongoDBApplications Cloud Manager中,Go您组织的 页面。

  1. 如果尚未显示,组织从导航栏中的Organizations菜单。

  2. 在侧边栏中,单击 Identity & Access 标题下的 Applications`

显示应用程序页面。

2

单击 API Keys(保存并关闭)。

3

删除 API 密钥。

  1. 单击在要删除的API密钥旁边。

  2. 单击Delete 以确认您要删除此 API 密钥,或单击 Cancel以将密钥保留在组织中。

注意

从组织中删除API密钥也会从该密钥被授予访问权限的任何项目中删除该密钥。

托管对项目的编程访问

注意

所需权限

您可以查看任何角色对项目的编程访问权限。

要执行任何其他动作,您必须具有Project User Admin 角色。

授予对项目的编程访问权限

使用以下过程,通过API密钥或服务帐户授予对项目的编程访问权限。要学习;了解有关这两种身份验证方法的更多信息,请参阅身份验证。

1

MongoDB Cloud ManagerGo在MongoDBProject Settings Cloud Manager中,Go 页面。

  1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含所需项目的组织。

  2. 如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。

  3. 在侧边栏中,单击 Project Settings

    显示项目设置页面。

2

转到 Applications(快速入门)页面。

在侧边栏中,单击 Identity & Access 标题下的 Applications

显示应用程序页面。

3

单击 Create Application(创建应用程序) Service Account(API 密钥)。

4

输入服务帐户信息。

  1. 输入一个 Name

  2. 输入一个 Description

  3. Client Secret Expiration(客户端密钥到期)菜单中选择持续时间。

  4. 项目权限菜单中,为服务帐户选择一个或多个新角色

5

单击 Create(保存并关闭)。

6

复制并保存 Client Secret(公共密钥)。

客户端密钥在创建访问令牌时充当密码。

警告

只有在这个时候,您才能查看完整的客户机密。点击 Copy(复制)并将其保存到安全位置。否则,您需要生成新的客户端机密。

7

添加一个 API Access List Entry(API 访问列表条目)。

  1. 单击 Add Access List Entry(连接)。

  2. 输入您希望Cloud Manager接受针对该服务帐号的API请求的IP解决或 APIIPCIDR区块。Cloud Manager

    Use Current IP AddressCloud ManagerAPI如果用于访问权限Cloud Manager的托管也将使用此服务帐号发出API请求,则也可以单击 。

  3. 单击 Save(连接)。

1

MongoDB Cloud ManagerGo在MongoDBProject Settings Cloud Manager中,Go 页面。

  1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含所需项目的组织。

  2. 如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。

  3. 在侧边栏中,单击 Project Settings

    显示项目设置页面。

2

转到 Applications(快速入门)页面。

在侧边栏中,单击 Identity & Access 标题下的 Applications

显示应用程序页面。

3

单击 Create Application(创建应用程序) API Key(API 密钥)。

4

填写API Key Information 表单。

Add API Key页面的API Key Information步骤中:

字段

说明

输入新API密钥的描述。

项目权限

API 密钥选择一个 或多个新角色 。

5

单击 Next(保存并关闭)。

6

为此 API 密钥添加访问列表值。

Add API Key页面的Private Key & Access List步骤中,单击Add Access List Entry

对于此API密钥,您可以选择:

  • 输入 Cloud Manager 应接受 API 请求的 IPv4 地址,或者

  • 如果您用于访问 Cloud Manager 的主机将发出API请求,请单击Use Current IP Address

7

单击 Save(保存并关闭)。

警告

在离开此页面之前复制私钥

Cloud Manager 会显示Private Key一次:在此页面上。 单击Copy将私钥添加到剪贴板。 像保护任何其他密码一样保存和保护此私钥。

查看项目的编程访问权限

您可以查看有权访问权限您的项目的所有API密钥或服务帐户的详细信息。

1

MongoDB Cloud ManagerGo在MongoDBProject Settings Cloud Manager中,Go 页面。

  1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含所需项目的组织。

  2. 如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。

  3. 在侧边栏中,单击 Project Settings

    显示项目设置页面。

2

转到 Applications(快速入门)页面。

在侧边栏中,单击 Identity & Access 标题下的 Applications

显示应用程序页面。

3

单击 Service Accounts(保存并关闭)。

列出有权访问权限您的项目的所有服务帐户。

单击服务帐户名称可查看其详细信息,包括:

  • 服务帐户的混淆客户端密钥

  • 上次使用客户端密钥的日期

  • 创建客户端密钥的日期

  • 服务帐户可以访问权限API的IP地址

  • 已为服务帐户分配的角色

1

MongoDB Cloud ManagerGo在MongoDBProject Settings Cloud Manager中,Go 页面。

  1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含所需项目的组织。

  2. 如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。

  3. 在侧边栏中,单击 Project Settings

    显示项目设置页面。

2

转到 Applications(快速入门)页面。

在侧边栏中,单击 Identity & Access 标题下的 Applications

显示应用程序页面。

3

单击 API Keys(保存并关闭)。

4

导航至View Details

  1. API密钥旁边,单击

  2. 单击 View Details(连接)。

    <Public Key> API Key Details模式显示:

    • 混淆Private Key

    • 上次使用密钥的日期。

    • 密钥的创建日期。

    • 密钥位于访问列表中的IPv4地址。

    • 已授予密钥访问权限的项目。

更新项目的编程访问权限

1

MongoDB Cloud ManagerGo在MongoDBProject Settings Cloud Manager中,Go 页面。

  1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含所需项目的组织。

  2. 如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。

  3. 在侧边栏中,单击 Project Settings

    显示项目设置页面。

2

转到 Applications(快速入门)页面。

在侧边栏中,单击 Identity & Access 标题下的 Applications

显示应用程序页面。

3

单击 Service Accounts(保存并关闭)。

4

单击服务帐户的名称。

5

编辑Service Account Info

要修改NameDescription ,请单击

6

生成新的客户端密钥。

  1. 单击 Generate New Client Secret

  2. 从菜单中选择客户端密钥的持续时间。 客户端密钥在此持续时间后过期。

  3. 单击 Generate New(连接)。

  4. 单击 Copy 并将客户端密钥保存到安全位置。这是您唯一一次可以查看完整的客户端密钥。

7

编辑Project Permissions

  1. 单击 Edit Permissions(连接)。

  2. Project Permissions 菜单中,为服务帐户选择一个或多个新角色。

  3. 单击 Save and next(连接)。

    重要

    服务帐户凭证将保持活动状态,直到过期或被用户撤销。

8

编辑API Access List

  1. 要添加您希望Cloud Manager接受针对此服务帐号的API请求的IP解决或 APIIPCIDR区块,请单击 Cloud ManagerAdd Access List EntryIP并键入IP解决。

    Use Current IP AddressCloud ManagerAPI如果用于访问权限Cloud Manager的托管也将使用此服务帐号发出API请求,则也可以单击 。

  2. 要从访问权限列表中删除IP解决,请单击IP解决右侧。

  3. 单击 Save(连接)。

1

MongoDB Cloud ManagerGo在MongoDBProject Settings Cloud Manager中,Go 页面。

  1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含所需项目的组织。

  2. 如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。

  3. 在侧边栏中,单击 Project Settings

    显示项目设置页面。

2

转到 Applications(快速入门)页面。

在侧边栏中,单击 Identity & Access 标题下的 Applications

显示应用程序页面。

3

单击 API Keys(保存并关闭)。

4

选择要编辑的 API 密钥。

  1. 单击在要更改的API密钥旁边。

  2. 单击 Edit(连接)。

5

填写API Key Information 表单。

Add API Key页面的API Key Information步骤中:

字段

说明

输入新API密钥的描述。

项目权限

API 密钥选择一个 或多个新角色 。

6

单击 Next(保存并关闭)。

7

为此 API 密钥添加访问列表值。

Add API Key页面的Private Key & Access List步骤中,单击Add Access List Entry

对于此API密钥,您可以选择:

  • 输入 Cloud Manager 应接受 API 请求的 IPv4 地址,或者

  • 如果您用于访问 Cloud Manager 的主机将发出API请求,请单击Use Current IP Address

8

单击 Save(保存并关闭)。

警告

在离开此页面之前复制私钥

Cloud Manager 会显示Private Key一次:在此页面上。 单击Copy将私钥添加到剪贴板。 像保护任何其他密码一样保存和保护此私钥。

撤销对项目的编程访问权限

1

MongoDB Cloud ManagerGo在MongoDBProject Settings Cloud Manager中,Go 页面。

  1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含所需项目的组织。

  2. 如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。

  3. 在侧边栏中,单击 Project Settings

    显示项目设置页面。

2

转到 Applications(快速入门)页面。

在侧边栏中,单击 Identity & Access 标题下的 Applications

显示应用程序页面。

3

单击 Service Accounts(保存并关闭)。

4

删除服务帐户。

  1. Actions单击要从项目中删除的服务帐户右侧 下的图标。

  2. 单击 Remove from this project(连接)。

重要

服务帐户仍然存在于组织中,任何现有凭证都保持活动状态,直到过期或手动撤销。

1

MongoDB Cloud ManagerGo在MongoDBProject Settings Cloud Manager中,Go 页面。

  1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含所需项目的组织。

  2. 如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。

  3. 在侧边栏中,单击 Project Settings

    显示项目设置页面。

2

转到 Applications(快速入门)页面。

在侧边栏中,单击 Identity & Access 标题下的 Applications

显示应用程序页面。

3

单击 API Keys(私有端点)标签页。

4

删除 API 密钥。

  1. 单击在要删除的API密钥旁边。

  2. 单击Delete 以确认您要删除此 API 密钥,或单击 Cancel以将密钥保留在组织中。

注意

从组织中删除API密钥也会从该密钥被授予访问权限的任何项目中删除该密钥。

提出 API 请求

Cloud Manager API使用两种身份验证方法之一对请求进行身份验证: API密钥或服务帐户。您将需要在配置首选身份验证方法时保存的密钥或密钥,以完成以下过程。

要使用服务帐户发出 API 请求,请使用该服务帐户生成访问令牌,然后在请求中使用访问令牌:

1

检索您的服务帐户的客户端机密。

找到以 mdb_sa_sk_ 开头的客户机密;这是创建服务帐户后立即保存的客户机密,当时也是唯一一次可以查看客户机密的时机。如果未保存客户端机密,则必须生成新的客户端机密。

2

对客户端 ID 和机密进行 Base64 编码。

例如,运行:

echo -n {CLIENT-ID}:{CLIENT-SECRET} | base64
3

请求访问令牌。

将以下示例中的 {BASE64-AUTH} 替换为上一步的输出,然后运行:

1curl --request POST \
2     --url https://cloud.mongodb.com/api/oauth/token \
3     --header 'accept: application/json' \
4     --header 'cache-control: no-cache' \
5     --header 'authorization: Basic {BASE64-AUTH}' \
6     --header 'content-type: application/x-www-form-urlencoded' \
7     --data 'grant_type=client_credentials'
{"access_token":"eyJhbGciOiJFUzUxMiIsInR5cCI6IkpXVCIsImtpZCI6ImYyZjE2YmE4LTkwYjUtNDRlZS1iMWYLTRkNWE2OTllYzVhNyJ9eyJpc3MiOiJodHRwczovL2Nsb3VkLWRldi5tb25nb2RiLmNvbSIsImF1ZCI6ImFwaTovL2FkbWluIiwic3ViIjoibWRi3NhX2lkXzY2MjgxYmM2MDNhNzFhNDMwYjkwNmVmNyIsImNpZCI6Im1kYl9zYV9pZF82NjI4MWJjNjAzYTcxYTQzMGI5MZlZjciLCJhY3RvcklkIjoibWRiX3NhX2lkXzY2MjgxYmM2MDNhNzFhNDMwYjkwNmVmNyIsImlhdCI6MTcxMzkwNTM1OSiZXhwIjoxNzEzOTA4OTU5LCJqdGkiOiI4ZTg1MTM3YS0wZGU1LTQ0N2YtYTA0OS1hMmVmNTIwZGJhNTIifQAZSFvhcjwVcJYmvW6E_K5UnDmeiX2sJgL27vo5ElzeBuPawRciKkn6ervZ6IpUTx2HHllGgAAMmhaP9B66NywhfjAXC67X9KcOzm81DTtvDjLrFeRSc_3vFmeGvfUKKXljEdWBnbmwCwtBlO5SJuBxb1V5swAl-Sbq9Ymo4NbyepSnF""expires_in":3600,"token_type":"Bearer"}%

重要

访问令牌的有效期为 1 小时(3600 秒)。您无法刷新访问令牌。当此访问令牌过期时,重复此步骤以生成新的访问令牌。

4

调用 API

将以下示例中的 {ACCESS-TOKEN} 替换为上一步的输出。示例,--header 'Authorization: Bearer eyJ...pSnF' \

以下示例GET请求将返回当前用户的所有项目:

curl --request GET \
      --url https://cloud.mongodb.com/api/public/v1.0/groups \
      --header 'Authorization: Bearer {ACCESS-TOKEN}' \
      --header 'Accept: application/json' \

以下示例POST请求采用请求正文并在组织中创建名为 MyProject 的项目:

curl --header 'Authorization: Bearer {ACCESS-TOKEN}' \
     --header 'Content-Type: application/json' \
     --header 'Accept: application/json' \
     --include \
     --request POST 'https://cloud.mongodb.com/api/public/v1.0/groups' \
     --data '
       {
         "name": "MyProject",
         "orgId": "5a0a1e7e0f2912c554080adc"
       }'

您的请求应类似于以下示例,其中,{PUBLIC-KEY} 是您的 API 公钥,{PRIVATE-KEY} 是相应的私钥。

以下示例GET请求将返回当前用户的所有项目:

curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \
     --header "Accept: application/json" \
     --include \
     --request GET "https://cloud.mongodb.com/api/public/v1.0/groups?pretty=true"

以下示例POST请求采用请求正文并在组织中创建名为 MyProject 的项目:

curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \
     --header "Accept: application/json" \
     --header "Content-Type: application/json" \
     --include \
     --request POST "https://cloud.mongodb.com/api/public/v1.0/groups?pretty=true" \
     --data '
       {
         "name": "MyProject",
         "orgId": "deffb2031b938da53f16d714"
       }'

后退

配置访问权限

来年

Tutorials

在此页面上