Guida introduttiva agli utenti e ai ruoli IAM Configurazione dei tipi di calcolo Monitoraggio delle richieste di autenticazione Utilizzo dell'autenticazione IAM Driver IAM supportati

Autenticazione tramite identità IAM

Gli utenti e le applicazioni di Amazon DocumentDB possono utilizzare utenti e ruoli IAM per autenticarsi in un cluster Amazon DocumentDB. L'autenticazione IAM di Amazon DocumentDB è un metodo di autenticazione senza password in cui le password degli utenti non vengono archiviate nel cluster Amazon DocumentDB. Inoltre, le applicazioni client non inviano le password segrete al cluster Amazon DocumentDB. Le connessioni client vengono invece autenticate AWS STS utilizzando token di sicurezza temporanei. Gli utenti e le applicazioni non amministrativi possono ora utilizzare lo stesso ARN di identità IAM per la connessione a diversi cluster Amazon DocumentDB e altri servizi. AWS

Puoi anche scegliere di utilizzare l'autenticazione basata su password e IAM per autenticare utenti e applicazioni in un cluster Amazon DocumentDB. L'autenticazione IAM è disponibile solo nella versione 5.0 del cluster basato su istanze di Amazon DocumentDB. L'autenticazione IAM tramite IAM identity ARN non è supportata per l'utente principale di Amazon DocumentDB.

Nota

L'utente principale può essere autenticato solo utilizzando l'autenticazione basata su password esistente.

Argomenti

Guida introduttiva all'autenticazione tramite utenti e ruoli IAM
Configurazione dei tipi di AWS elaborazione per l'autenticazione su Amazon DocumentDB tramite IAM AWS
Monitoraggio delle richieste di autenticazione IAM
Utilizzo dell'autenticazione IAM
Driver IAM supportati

Guida introduttiva all'autenticazione tramite utenti e ruoli IAM

Gli utenti e i ruoli di Amazon DocumentDB con identità IAM vengono creati e gestiti in un database. $external

Creazione di un utente

Connect come utente principale, quindi crea un utente e un ruolo IAM:


use $external;
db.createUser(
    {
        user: "arn:aws:iam::123456789123:user/iamuser",
            mechanisms: ["MONGODB-AWS"],
            roles: [ { role: "readWrite", db: "readWriteDB" } ]
    }
);

In alternativa, aggiungi un utente Amazon DocumentDB utilizzando un ruolo IAM:


use $external;
db.createUser(
    {
        user: "arn:aws:iam::123456789123:roles/iamrole",
            mechanisms: ["MONGODB-AWS"],
            roles: [ { role: "readWrite", db: "readWriteDB" } ]
    }
);

Modifica di un utente

Modifica un utente IAM esistente:


use $external;
db.updateUser(
    {
        "arn:aws:iam::123456789123:user/iamuser",
            { roles: [ { role: "read", db: "readDB" } ] }
    }
);

Per concedere o revocare ruoli a un utente:


use $external;
db.grantRolesToUser("arn:aws:iam::123456789123:user/iamuser", [{db: "admin", role: "readWriteAnyDatabase"}])


use $external;
db.revokeRolesFromUser("arn:aws:iam::123456789123:user/iamuser", [{db: "admin", role: "readWriteAnyDatabase"}])

Eliminare un utente

Per eliminare un utente IAM esistente:


use $external
db.dropUser(
    {
        user: "arn:aws:iam::123456789123:user/iamuser"
    }
);

Configura un URI di connessione per l'autenticazione tramite AWS IAM

Per autenticarti usandoMONGODB-AWS, usa authSource as $external e authMechanism as. MONGODB-AWS I campi nome utente e password vengono sostituiti rispettivamente da una chiave di accesso e una chiave segreta per l'utente IAM. Se stai assumendo un ruolo IAM, specifica il token di sicurezza per la sessione presunta. Se utilizzi driver MongoDB che supportano MONGODB-AWS il meccanismo di autenticazione, i driver hanno anche la possibilità di recuperare le credenziali del ruolo IAM dall'istanza di calcolo (ad esempio, Amazon EC2, la funzione Lambda e altre). L'esempio seguente utilizza una shell mongo per l'autenticazione MONGODB-AWS tramite il passaggio manuale di una chiave di accesso e una chiave segreta (di un utente IAM) per dimostrare l'autenticazione contro Amazon DocumentDB.


$ mongo 'mongodb://<access_key>:<secret_key>@<cluster_endpoint>:<db_port>/test?authSource=%24external&authMechanism=MONGODB-AWS'

Configurazione dei tipi di AWS elaborazione per l'autenticazione su Amazon DocumentDB tramite IAM AWS

Utilizzo di Amazon EC2

Amazon EC2 utilizza le seguenti variabili di ambiente:


AWS_ACCESS_KEY_ID
AWS_SECRET_ACCESS_KEY
AWS_SESSION_TOKEN

Usando AWS Lambda

AWS Lambda utilizza le seguenti variabili di ambiente:


AWS_ACCESS_KEY_ID
AWS_SECRET_ACCESS_KEY
AWS_SESSION_TOKEN

Per ulteriori informazioni sulle variabili di ambiente, consulta Using Lambda Environmental Variables nella AWS Lambda Developer Guide.

Utilizzo di Amazon EKS

Amazon Elastic Kubernetes Service (Amazon EKS) utilizza le seguenti variabili di ambiente:


AWS_WEB_IDENTITY_TOKEN_FILE - path of web identity token file
AWS_ROLE_ARN - Name of IAM role to connect with

Per ulteriori informazioni su Amazon EKS, consulta What is Amazon EKS nella Amazon EKS User Guide.

Monitoraggio delle richieste di autenticazione IAM

Utilizzo del controllo di Amazon DocumentDB

Vai alla cartella dei log di controllo in Amazon CloudWatch e utilizza diversi modelli di ricerca per ottenere i log per l'autenticazione IAM. Ad esempio, utilizza { $.param.mechanism = "MONGODB-AWS" } come modello di ricerca «Cerca in tutti i flussi di log».

Per ulteriori informazioni sugli eventi supportati nel controllo, consulta. Controllo degli eventi di Amazon DocumentDB

Utilizzo dei CloudWatch parametri di Amazon

StsGetCallerIdentityCalls: questa metrica mostra quante GetCallerIdentity chiamate sta effettuando un'istanza Amazon DocumentDB all'endpoint AWS Security Token Service AWS STS regionalized (). Fai riferimento alle specifiche di MONGODB-AWS autenticazione per scoprire perché le istanze di database devono effettuare chiamate STS. GetCallerIdentity

Utilizzo dell'autenticazione IAM

Se non desideri gestire il nome utente e la password nel tuo database, puoi utilizzare l'autenticazione IAM. L'autenticazione IAM è disponibile solo nella versione 5.0 del cluster basato su istanze di Amazon DocumentDB.

L'autenticazione IAM dipende dal servizio STS. Ti consigliamo di valutare se è possibile ridurre la velocità di connessione quando utilizzi l'autenticazione IAM per la connessione e ottieni un'eccezione di limitazione STS.

Per le quote IAM, consulta IAM e quote. AWS STS

Driver IAM supportati

I driver che supportano Amazon DocumentDB 5.0 e il meccanismo di MONGODB-AWS autenticazione devono funzionare con l'implementazione dell'autenticazione IAM in Amazon DocumentDB. Esiste una limitazione nota con i driver NodeJS che attualmente non sono supportati da Amazon DocumentDB for IAM Authentication. Il supporto del driver NodeJS verrà aggiornato una volta risolta la limitazione.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Riferimento alle autorizzazioni di Amazon DocumentDB API

Gestione degli utenti di Amazon DocumentDB