Autenticazione tramite identità IAM

Gli utenti e le applicazioni di Amazon DocumentDB possono utilizzare utenti e ruoli IAM per autenticarsi in un cluster Amazon DocumentDB. L'autenticazione IAM di Amazon DocumentDB è un metodo di autenticazione senza password. Inoltre, le applicazioni client non inviano le password segrete al cluster Amazon DocumentDB quando utilizzano ruoli/utenti IAM. Le connessioni client vengono invece autenticate utilizzando token di sicurezza temporanei AWS STS . Gli utenti e le applicazioni non amministrativi possono ora utilizzare lo stesso ARN di identità IAM per la connessione a diversi cluster Amazon DocumentDB e altri servizi. AWS

Puoi anche scegliere di utilizzare l'autenticazione basata su password e IAM per autenticare utenti e applicazioni in un cluster Amazon DocumentDB. L'autenticazione IAM è disponibile solo nella versione 5.0 del cluster basato su istanze di Amazon DocumentDB. L'autenticazione IAM tramite identità IAM non ARNs è supportata per l'utente principale di Amazon DocumentDB.

Nota

L'utente principale può essere autenticato solo utilizzando l'autenticazione basata su password esistente.

Guida introduttiva all'autenticazione tramite utenti e ruoli IAM

Gli utenti e i ruoli di Amazon DocumentDB con identità IAM vengono creati e gestiti in un database. $external

Creazione di un utente

Connect come utente principale, quindi crea un utente e un ruolo IAM:

use $external;
db.createUser(
    {
        user: "arn:aws:iam::123456789123:user/iamuser",
        mechanisms: ["MONGODB-AWS"],
        roles: [ { role: "readWrite", db: "readWriteDB" } ]
    }
);

In alternativa, aggiungi un utente Amazon DocumentDB utilizzando un ruolo IAM:

use $external;
db.createUser(
    {
        user: "arn:aws:iam::123456789123:role/iamrole",
        mechanisms: ["MONGODB-AWS"],
        roles: [ { role: "readWrite", db: "readWriteDB" } ]
    }
);

Modifica di un utente o di un ruolo IAM

Modifica un utente IAM esistente:

use $external;
db.updateUser(
  "arn:aws:iam::123456789123:user/iamuser",
  { 
    roles: [ { role: "read", db: "readDB" } ] 
  }
);

Modifica un ruolo IAM esistente:

use $external;
db.updateUser(
  "arn:aws:iam::123456789123:role/iamrole",
  { 
    roles: [ { role: "read", db: "readDB" } ] 
  }
);

Per concedere o revocare ruoli a un utente IAM:

use $external;
db.grantRolesToUser(
  "arn:aws:iam::123456789123:user/iamuser", 
  [ { db: "admin", role: "readWriteAnyDatabase" } ]
);

use $external;
db.revokeRolesFromUser(
  "arn:aws:iam::123456789123:user/iamuser", 
  [ { db: "admin", role: "readWriteAnyDatabase" } ]
);

Per concedere o revocare ruoli da un ruolo IAM:

use $external;
db.grantRolesToUser(
  "arn:aws:iam::123456789123:user/iamrole", 
  [ { db: "admin", role: "readWriteAnyDatabase" } ]
);

use $external;
db.revokeRolesFromUser(
  "arn:aws:iam::123456789123:user/iamrole", 
  [ { db: "admin", role: "readWriteAnyDatabase" } ]
);

Eliminare un utente o un ruolo IAM

Per eliminare un utente IAM esistente:

use $external;
db.dropUser("arn:aws:iam::123456789123:user/iamuser");

Per eliminare un ruolo IAM esistente:

use $external;
db.dropUser("arn:aws:iam::123456789123:role/iamrole");

Configura un URI di connessione per l'autenticazione tramite AWS IAM

Per l'autenticazione tramite AWS IAM, utilizza i seguenti parametri URI: authSource as $external e authMechanism as. MONGODB-AWS Se utilizzi un utente IAM, i campi nome utente e password vengono sostituiti rispettivamente da una chiave di accesso e una chiave segreta. Se stai assumendo un ruolo IAM, collegato all'ambiente in cui ti trovi (ad esempio, AWS Lambda funzione, EC2 istanza Amazon). Non è necessario fornire specificamente alcuna credenziale durante l'autenticazione utilizzando il meccanismo. MONGODB-AWS Se utilizzi driver MongoDB che supportano MONGODB-AWS il meccanismo di autenticazione, i driver hanno anche la possibilità di recuperare le credenziali del ruolo IAM dall'istanza di calcolo (ad esempio, Amazon EC2, la funzione Lambda e altre). L'esempio seguente utilizza una shell mongo per l'autenticazione MONGODB-AWS tramite il passaggio manuale di una chiave di accesso e una chiave segreta (di un utente IAM) per dimostrare l'autenticazione contro Amazon DocumentDB.

L'esempio seguente utilizza il codice Python per l'autenticazione utilizzando MONGODB-AWS senza passare esplicitamente alcuna credenziale (utilizzando un ruolo IAM collegato all'ambiente) per dimostrare l'autenticazione contro Amazon DocumentDB.

##Create a MongoDB client, open a connection to Amazon DocumentDB using an IAM role
    client = pymongo.MongoClient(‘mongodb://<DocDBEndpoint>:27017/?tls=true&tlsCAFile=global-bundle.pem&replicaSet=rs0&readPreference=secondaryPreferred&retryWrites=false&authSource=%24external&authMechanism=MONGODB-AWS')

L'esempio seguente utilizza una shell mongo per l'autenticazione utilizzando il MONGODB-AWS meccanismo passando manualmente una chiave di accesso e una chiave segreta (di un utente IAM) per dimostrare l'autenticazione contro Amazon DocumentDB.

$ mongo 'mongodb://<access_key>:<secret_key>@<cluster_endpoint>:<db_port>/test?authSource=%24external&authMechanism=MONGODB-AWS'

L'esempio seguente utilizza una shell mongo per l'autenticazione utilizzando MONGODB-AWS senza passare esplicitamente alcuna credenziale (utilizzando IAM Role collegato all'ambiente) per dimostrare l'autenticazione contro Amazon DocumentDB.

$ mongo 'mongodb://<cluster_endpoint>:<db_port>/test?authSource=%24external&authMechanism=MONGODB-AWS'

Configurazione dei tipi di AWS elaborazione per l'autenticazione su Amazon DocumentDB tramite IAM AWS

Utilizzo di Amazon EC2/AWS Lambda/AWS Fargate

Amazon EC2 utilizza le seguenti variabili di ambiente. Se hai un ruolo IAM collegato all' EC2 istanza o un ruolo IAM di esecuzione associato a una funzione Lambda o a un task Amazon ECS, queste variabili vengono compilate automaticamente e il driver può recuperare questi valori dall'ambiente:

AWS_ACCESS_KEY_ID
AWS_SECRET_ACCESS_KEY
AWS_SESSION_TOKEN

Per ulteriori informazioni sulle variabili di ambiente, consulta Using Lambda environment variables nella AWS Lambda Developer Guide.

Utilizzo di Amazon EKS

L'assegnazione di un ruolo ai tuoi pod Amazon Elastic Kubernetes Service (Amazon EKS) configurerà automaticamente le seguenti due variabili di ambiente:

AWS_WEB_IDENTITY_TOKEN_FILE - path of web identity token file
AWS_ROLE_ARN - Name of IAM role to connect with

Con l'aiuto di queste variabili, assumi manualmente il ruolo del codice utilizzando la chiamata SDK per: AWS AssumeRoleWithWebIdentity

• Omettete il parametro. ProviderID

• Trova il valore del WebIdentityToken parametro nel file descritto nella variabile di AWS_WEB_IDENTITY_TOKEN_FILE ambiente.

Per ulteriori informazioni su Amazon EKS, consulta What is Amazon EKS nella Amazon EKS User Guide.

Monitoraggio delle richieste di autenticazione IAM

Utilizzo del controllo di Amazon DocumentDB

Vai alla cartella dei log di controllo in Amazon CloudWatch e utilizza diversi modelli di ricerca per ottenere i log per l'autenticazione IAM. Ad esempio, utilizza { $.param.mechanism = "MONGODB-AWS" } come modello di ricerca «Cerca in tutti i flussi di log».

Per ulteriori informazioni sugli eventi supportati nel controllo, consulta. Controllo degli eventi di Amazon DocumentDB

Utilizzo dei CloudWatch parametri di Amazon

StsGetCallerIdentityCalls: questa metrica mostra quante GetCallerIdentity chiamate effettua un'istanza di Amazon DocumentDB all'endpoint AWS Security Token Service AWS STS regionalized (). Fai riferimento alle specifiche di MONGODB-AWS autenticazione per scoprire perché le istanze di database devono effettuare chiamate STS. GetCallerIdentity

Utilizzo dell'autenticazione IAM

Se non desideri gestire il nome utente e la password nel tuo database, puoi utilizzare l'autenticazione IAM. L'autenticazione IAM è disponibile solo nella versione 5.0 del cluster basato su istanze di Amazon DocumentDB.

L'autenticazione IAM dipende dal servizio STS. Ti consigliamo di valutare se è possibile ridurre la velocità di connessione quando utilizzi l'autenticazione IAM per la connessione e ottieni un'eccezione di limitazione STS.

Per le quote IAM, consulta IAM e AWS STS quote nella IAM User Guide.

Driver che supportano IAM

I driver che supportano Amazon DocumentDB 5.0 e il meccanismo di MONGODB-AWS autenticazione devono funzionare con l'implementazione dell'autenticazione IAM in Amazon DocumentDB.

Importante

Esiste una limitazione nota con i driver Node.js precedenti alla versione 6.13.1, che attualmente non sono supportati dall'autenticazione dell'identità IAM per Amazon DocumentDB. I driver e gli strumenti Node.js che utilizzano il driver Node.js (ad esempio, mongosh) devono essere aggiornati per utilizzare il driver Node.js versione 6.13.1 o successiva.

Domande frequenti sull'autenticazione dell'identità IAM

Ci sono esempi a cui posso fare riferimento?

Consulta queste pagine per esempi di casi d'uso e configurazioni:

• In che modo gli utenti umani possono autenticarsi su Amazon DocumentDB utilizzando IAM Users e IAM Roles

• Autenticazione senza password su Amazon DocumentDB utilizzando IAM Roles

Ricevo un errore durante l'utilizzo del mio driver Python: «pymongo.errors. ConfigurationError: MONGODB: l'autenticazione richiede».AWS pymongo-auth-aws Come posso risolvere questo problema?

Assicurati di utilizzare la seguente istruzione durante l'installazione del driver Python con l'autenticazione IAM:

pip install 'pymongo[aws]'

Questo installerà le AWS dipendenze aggiuntive necessarie per il funzionamento dell'autenticazione IAM.

La mia connessione si interromperà alla scadenza delle credenziali temporanee del mio ruolo IAM?

No, le credenziali IAM temporanee vengono utilizzate solo per stabilire la connessione e l'autenticazione. Quindi tutte le ulteriori autorizzazioni avvengono nel cluster Amazon DocumentDB. Anche se le credenziali IAM ruotano o scadono, la connessione non si interromperà né diventerà obsoleta.