View a markdown version of this page

Pengguna Database MongoDB Atlas - AWS Secrets Manager
Bidang Nilai RahasiaBidang Metadata RahasiaAliran Penggunaan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pengguna Database MongoDB Atlas

Bidang Nilai Rahasia

Berikut ini adalah bidang-bidang yang harus dimuat dalam rahasia Secrets Manager:

{
  "username": "database username",
  "password": "database password",
  "clusterUrl": "cluster hostname",
  "databaseName": "authentication database",
  "groupId": "Atlas Project ID"
}
nama pengguna

Nama pengguna database MongoDB (Scram-Authenticated). Pengguna ini harus dikonfigurasi di MongoDB Atlas untuk menerima otentikasi SCRAM.

password

Kata sandi saat ini untuk pengguna database MongoDB Atlas.

ClusterURL

Nama host cluster MongoDB Atlas, misalnya. cluster0.abc123.mongodb.net Jangan sertakan mongodb+srv:// awalan. Ini digunakan untuk memverifikasi kata sandi baru selama rotasi.

databaseName

Database otentikasi tempat kredensi pengguna disimpan. Biasanya admin untuk pengguna SCRAM atau $external untuk X.509/LDAP.

groupId

ID Proyek Atlas heksadesimal 24 karakter (juga dikenal sebagai ID Grup). Anda dapat menemukan ini di Pengaturan Proyek Atlas Anda.

Bidang Metadata Rahasia

Berikut ini adalah bidang metadata untuk MongoDB Atlas Database User:

{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:MongoDBAtlasServiceAccount",
  "apiVersion": "2025-03-12"
}
adminSecretArn

Nama Sumber Daya Amazon (ARN) untuk rahasia yang berisi OAuth kredensil akun layanan Atlas (tipe: Mongo DBAtlasServiceAccount) dengan izin Admin Akses Database Project. Rahasia admin ini digunakan untuk mengautentikasi ke Atlas Admin API untuk pembaruan kata sandi.

apiVersion

(Opsional) Tanggal versi Atlas Admin API dalam yyyy-mm-dd format. Nilai ini digunakan di Accept header sebagaiapplication/vnd.atlas.{apiVersion}+json. Default hingga 2025-03-12 jika tidak ditentukan.

Aliran Penggunaan

Jenis rotasi ini menggunakan arsitektur dua rahasia. Rahasia admin yang berisi OAuth kredensi akun layanan Atlas (clientId,clientSecret,serviceAccountId) diperlukan untuk mengautentikasi ke Atlas Admin API. Rahasia admin harus bertipe Mongo DBAtlasServiceAccount.

Anda dapat membuat rahasia Anda menggunakan CreateSecretpanggilan dengan nilai rahasia yang berisi bidang yang disebutkan di atas dan tipe rahasia sebagai Mongo DBAtlasDatabaseUser. Konfigurasi rotasi dapat diatur menggunakan RotateSecretpanggilan. Anda harus memberikan metadata rotasi. adminSecretArn Anda juga harus memberikan peran ARN dalam RotateSecretpanggilan yang memberikan layanan izin yang diperlukan untuk memutar rahasia. Untuk contoh kebijakan izin, lihat Keamanan dan Izin.

Karena rahasia admin memiliki tipe yang berbeda (Mongo DBAtlasServiceAccount) dari rahasia pengguna (Mongo DBAtlasDatabaseUser), kebijakan peran rotasi default yang dicakup oleh tidak secretsmanager:resource/Type akan memberikan akses ke rahasia admin. Anda harus secara eksplisit memberikan akses peran rotasi ke rahasia admin dengan menambahkan pernyataan yang dicakup ke DBAtlas ServiceAccount jenis Mongo atau dengan menentukan ARN rahasia admin secara langsung dalam kebijakan peran.

Selama rotasi, driver menghasilkan kata sandi baru, memanggil Atlas Admin API untuk memperbarui kata sandi pengguna database, dan memverifikasi kata sandi baru dengan membuka koneksi MongoDB nyata ke cluster. Perhatikan bahwa ada penundaan propagasi 5-10 detik setelah pembaruan kata sandi sebelum kata sandi baru diterima oleh lapisan otentikasi cluster.