View a markdown version of this page

MongoDB Atlas-Datenbankbenutzer - AWS Secrets Manager
Geheime WertfelderGeheime MetadatenfelderAblauf der Nutzung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

MongoDB Atlas-Datenbankbenutzer

Geheime Wertfelder

Die folgenden Felder müssen im Secrets Manager Manager-Geheimnis enthalten sein:

{
  "username": "database username",
  "password": "database password",
  "clusterUrl": "cluster hostname",
  "databaseName": "authentication database",
  "groupId": "Atlas Project ID"
}
username

Der MongoDB-Datenbank-Benutzername (SCRAM-authentifiziert). Dieser Benutzer muss in MongoDB Atlas konfiguriert sein, um die SCRAM-Authentifizierung zu akzeptieren.

password

Das aktuelle Passwort für den MongoDB Atlas-Datenbankbenutzer.

Cluster-URL

Zum Beispiel der Hostname des MongoDB Atlas-Clusters. cluster0.abc123.mongodb.net Verwenden Sie nicht das Präfix mongodb+srv://. Dies wird zur Überprüfung des neuen Passworts während der Rotation verwendet.

databaseName

Die Authentifizierungsdatenbank, in der die Anmeldeinformationen des Benutzers gespeichert werden. Typischerweise admin für SCRAM-Benutzer oder $external für X.509/LDAP.

groupId

Die 24-stellige hexadezimale Atlas-Projekt-ID (auch bekannt als Gruppen-ID). Sie finden sie in Ihren Atlas-Projekteinstellungen.

Geheime Metadatenfelder

Im Folgenden sind die Metadatenfelder für MongoDB Atlas Database User aufgeführt:

{
  "adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:MongoDBAtlasServiceAccount",
  "apiVersion": "2025-03-12"
}
adminSecretArn

Der Amazon-Ressourcenname (ARN) für den geheimen Schlüssel, der die OAuth Anmeldeinformationen für das Atlas-Servicekonto (Typ: Mongo DBAtlasServiceAccount) mit Administratorberechtigungen für den Zugriff auf Projektdatenbanken enthält. Dieser geheime Administratorschlüssel wird verwendet, um sich bei der Atlas-Admin-API für Kennwortaktualisierungen zu authentifizieren.

API-Version

(Optional) Das Versionsdatum der Atlas Admin API im yyyy-mm-dd Format. Dieser Wert wird im Accept Header als verwendetapplication/vnd.atlas.{apiVersion}+json. Es gilt der Standardwert 2025-03-12, wenn keine Angabe gemacht wird.

Ablauf der Nutzung

Dieser Rotationstyp verwendet eine Architektur mit zwei Geheimnissen. Für die Authentifizierung bei der Atlas-Admin-API ist ein Administratorgeheimnis erforderlich clientIdclientSecret, das die OAuth Anmeldeinformationen für das Atlas-Servicekonto (,,serviceAccountId) enthält. Das Administratorgeheimnis sollte vom Typ DBAtlas ServiceAccount Mongo sein.

Sie können Ihr Geheimnis mithilfe des CreateSecretAufrufs mit dem geheimen Wert, der die oben genannten Felder enthält, und dem Geheimtyp DBAtlas DatabaseUser Mongo erstellen. Die Rotationskonfigurationen können mithilfe eines RotateSecretAnrufs festgelegt werden. Sie müssen die adminSecretArn in den Rotationsmetadaten angeben. Sie müssen in dem RotateSecretAnruf auch einen Rollen-ARN angeben, der dem Dienst die erforderlichen Berechtigungen für die Rotation des Secrets gewährt. Ein Beispiel für eine Berechtigungsrichtlinie finden Sie unter Sicherheit und Berechtigungen.

Da der geheime Administratorschlüssel von einem anderen Typ (Mongo DBAtlasServiceAccount) als der geheime Benutzerschlüssel (Mongo DBAtlasDatabaseUser) ist, gewährt die standardmäßige Rotationsrollenrichtlinie, auf die der Geltungsbereich beschränkt ist, keinen Zugriff auf den geheimen Administratorschlüssel. secretsmanager:resource/Type Sie müssen der Rotationsrolle explizit Zugriff auf das Administratorgeheimnis gewähren, indem Sie eine Anweisung hinzufügen, die auf den DBAtlas ServiceAccount Typ Mongo beschränkt ist, oder indem Sie den geheimen Administrator-ARN direkt in der Rollenrichtlinie angeben.

Während der Rotation generiert der Treiber ein neues Passwort, ruft die Atlas Admin API auf, um das Passwort des Datenbankbenutzers zu aktualisieren, und verifiziert das neue Passwort, indem er eine echte MongoDB-Verbindung zum Cluster öffnet. Beachten Sie, dass es nach der Kennwortaktualisierung eine Übertragungsverzögerung von 5-10 Sekunden gibt, bevor das neue Passwort von der Authentifizierungsebene des Clusters akzeptiert wird.