Atlas Administration API認証メソッド

サービス アカウントの概要

サービス アカウントは、 Atlas Administration APIへの認証を管理するための推奨方法です。サービス アカウントは、クライアント認証情報フローで業界標準の OAuth2.0 プロトコルを使用することで、 APIキーに対するセキュリティを強化します。

サービス アカウントを使用すると、権限を管理し、 APIリクエストを認証するアクセス トークンを作成できます。各サービス アカウントには、アクセス トークンを作成するためのユーザー名とパスワードとして機能するクライアントIDとシークレットがあります。アクセストークンを使用してAPIリクエストを作成する方法については、 「 APIリクエストの作成 」を参照してください。

アクセス1 3600トークンは、OAuth2.0 仕様に従って 時間（ 秒）のみ有効です。この限られた有効期限は、攻撃者がリークされたアクセス トークンを時間制限なしに使用する、リプレイ攻撃を防ぎます。

各サービス アカウントは 1 つの組織にのみ属し、その組織内の任意の数のプロジェクトへのアクセスを許可できます。組織レベルのサービス アカウントにプロジェクトへのアクセス権を付与するには、「 既存の組織のアクセス権をプロジェクトに割り当て 」を参照してください。

Atlas ロールは、サービス アカウントがアクセス トークンで認証できる操作を制限します。サービス アカウントがAPI呼び出しに必要な権限で必要なアクセス トークンを生成するようにするには、ユーザーの場合と同様にサービス アカウントにロールを割り当てる必要があります。

サービス アカウントまたはそのアクセス トークンを使用して、 Atlas UIから Atlas にログことはできません。サービス アカウントでは Atlas Administration APIへのアクセスのみが許可されます。これにはUIアクセスやクラスター データへのアクセスは含まれません。サービス アカウントの制限の詳細については、 「 MongoDB の制限としきい値 」を参照してください。

APIキーの概要

APIキーは、 HTTPダイジェスト認証を使用する Atlas Administration APIへの認証のレガシーメソッドです。

APIキーには、公開キーと秘密キーの 2 つの部分があります。これらは、 APIリクエストを認証するためにユーザー名とパスワードと同じ機能を果たします。 APIキーを使用してAPIリクエストを作成する方法については、「 APIリクエストの作成 」を参照してください。

Atlas は、 noance と呼ばれる一意の値を使用して公開キーと秘密キーをハッシュします。 HTTPダイジェスト認証の仕様に従って短時間のみ有効です。この限られた有効期限は、リプレイ攻撃を防ぎます。この場合、攻撃者は秘密キーをキャッシュして、時間制限なしに使用します。

APIキーの各ペアは 1 つの組織にのみ属し、その組織内の任意の数のプロジェクトへのアクセスを許可できます。プロジェクトへの組織レベルのAPIキーアクセスを付与するには、「 プロジェクトへの既存の組織アクセスの割り当て 」を参照してください。

Atlas ロールは、 APIキーが実行できる操作を制限します。 APIキーが、必要なAPI呼び出しに必要な権限を持っているようにするには、ユーザーと同様にAPIキーにロールを割り当てる必要があります。

APIキーを使用して Atlas UIから Atlas にログことはできません。 APIキーは Atlas Administration APIへのアクセスのみを許可します。これには、 UIアクセスやクラスター データへのアクセスは含まれません。

次のステップ

サービス アカウントとAPIキーの使用および管理方法については、次の手順を参照してください。

• 組織へのプログラムによるアクセスの付与

• プロジェクトへのプログラムによるアクセスの付与

• プログラムによる組織へのアクセスを管理

• プロジェクトへのプログラムによるアクセスを管理

• プログラムによる複数の組織へのアクセスを管理

• サービス アカウント トークンの生成

• サービス アカウント トークンの取り消し