翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Encrypting data in transit
Transport Layer Security (TLS) を使用して、アプリケーションと Amazon DocumentDB クラスター間の接続を暗号化できます。デフォルトでは、転送時の暗号化は、新しく作成された Amazon DocumentDB クラスターに対して有効になっています。クラスターの作成時、または後で無効にすることもできます。転送中の暗号化が有効になっている場合、クラスターへの接続には を使用した安全な接続TLSが必要です。を使用して Amazon DocumentDB に接続する方法の詳細についてはTLS、「」を参照してくださいプログラムによる Amazon DocumentDB への接続。
Amazon DocumentDB クラスターTLS設定の管理
Amazon DocumentDB クラスターの転送中の暗号化は、クラスターTLSパラメータグループ の パラメータを介して管理されます。 https://docs.aws.amazon.com/documentdb/latest/developerguide/cluster_parameter_groups.htmlAmazon DocumentDB クラスターTLSの設定は、 AWS Management Console または AWS Command Line Interface () を使用して管理できますAWS CLI。現在のTLS設定を確認および変更する方法については、以下のセクションを参照してください。
- Using the AWS Management Console
-
パラメータグループの識別、TLS値の検証、必要な変更など、コンソールを使用してTLS暗号化の管理タスクを実行するには、次の手順に従います。
注記
クラスターの作成時に別の指定がない限り、クラスターはデフォルトのクラスターパラメータグループを使用して作成されます。
defaultクラスターパラメータグループのパラメータは変更できません (tlsの有効化/無効化など)。そのため、クラスターがdefaultクラスターパラメータグループを使用している場合は、デフォルト以外のクラスターパラメータグループを使用するようにクラスターを変更する必要があります。まず、カスタムクラスターパラメータグループを作成する必要があります。詳細については、「Amazon DocumentDB クラスターパラメータグループを作成する」を参照してください。-
クラスターが使用しているクラスターパラメータグループを確認します。
-
Amazon DocumentDB コンソールを次の場所で開きます。https://console.aws.amazon.com/docdb
-
ナビゲーションペインで クラスター を選択します。
ヒント
画面の左側にナビゲーションペインが表示されない場合は、ページの左上隅にあるメニューアイコン (
) を選択します。 -
クラスターナビゲーションボックスでは、クラスター識別子列にクラスターとインスタンスの両方が表示されることに注意してください。インスタンスはクラスターの下にリストされます。参考のために下のスクリーンショットを参照してください。
-
関心があるクラスターを選択します。
-
[設定] タブを選択して、[クラスターの詳細] の一番下までスクロールし、[クラスターパラメータグループ] を見つけます。クラスターパラメータグループの名前を書き留めます。
クラスターのパラメータグループの名前が
default(たとえば、default.docdb3.6など) の場合、続行する前にカスタムのクラスターパラメータグループを作成して、それをクラスターのパラメータグループにする必要があります。詳細については、次を参照してください。-
Amazon DocumentDB クラスターパラメータグループを作成する − 使用できるカスタムのクラスターパラメータグループがない場合、これを作成します。
-
Amazon DocumentDB クラスターの変更 - カスタムクラスターパラメータグループを使用するようにクラスターを変更します。
-
-
-
tlsクラスターパラメータの現在の値を確認します。-
Amazon DocumentDB コンソールを次の場所で開きます。https://console.aws.amazon.com/docdb
-
ナビゲーションペインで、[パラメータグループ] を選択します。
-
クラスターパラメータグループの一覧から、使用するクラスターパラメータグループの名前を選択します。
-
[クラスターパラメータ] セクションを見つけます。クラスターパラメータの一覧で、
tlsクラスターパラメータ行を見つけます。この時点では、次の 4 つの列が重要です。-
クラスターパラメータ名 - クラスターパラメータの名前 を管理するにはTLS、クラスター
tlsパラメータに関心があります。 -
値 - 各クラスターパラメータの現在の値
-
使用できる値 - クラスターパラメータに適用できる値の一覧。
-
適用タイプ - [静的] または [動的] のいずれか。静的クラスターパラメータへの変更は、インスタンスが再起動されるときにのみ適用されます。動的パラメータへの変更は、すぐに適用されるか、またはインスタンスが再起動されるときに適用されます。
-
-
tlsクラスターパラメータの値を設定します。tlsの値が必要な値ではない場合、このクラスターパラメータグループの値を変更します。tlsクラスターパラメータの値を変更するには、前のセクションに続いて次の手順を行います。-
クラスターパラメータ名 (
tls) の左側のボタンを選択します。 -
[編集] を選択します。
-
tlsの値を変更するには、[tlsの変更] ダイアログボックスで、ドロップダウンリストからクラスターパラメータに必要な値を選択します。有効な値は次のとおりです。
無効 — 無効 TLS
有効 — 有効 TLS (バージョン 1.0、1.1、1.2、1.3)
fips-140-3 — TLSで有効にしますFIPS。クラスターは、連邦情報処理規格 (FIPS) の出版物 140-3 の要件に従ってのみ、安全な接続を受け入れます。これは、ca-central-1、us-west-2、us-east-1、us-east-2、-1、-1 の各リージョンの Amazon DocumentDB 5.0 (エンジンバージョン us-gov-east3.0.3727) us-gov-westクラスター以降でのみサポートされています。
-
[Modify cluster parameter (クラスターパラメータの変更)] を選択します。各クラスターインスタンスが再起動されると、変更が適用されます。
-
Amazon DocumentDB インスタンスを再起動します。
変更がクラスター内のすべてのインスタンスに適用されるように、クラスターの各インスタンスを再起動します。
-
Amazon DocumentDB コンソールを次の場所で開きます。https://console.aws.amazon.com/docdb
-
ナビゲーションペインで、[インスタンス] を選択します。
-
再起動するインスタンスを指定するには、インスタンスのリストでインスタンスを見つけ、その名前の左側にあるボタンを選択します。
-
[アクション]、[再起動] の順に選択します。[再起動] を選択して、リブートすることを確認します。
-
-
- Using the AWS CLI
-
パラメータグループの識別、TLS値の検証、必要な変更 AWS CLIなど、 を使用してTLS暗号化の管理タスクを実行するには、次の手順に従います。
注記
クラスターの作成時に別の指定がない限り、クラスターはデフォルトのクラスターパラメータグループを使用して作成されます。
defaultクラスターパラメータグループのパラメータは変更できません (tlsの有効化/無効化など)。そのため、クラスターがdefaultクラスターパラメータグループを使用している場合は、デフォルト以外のクラスターパラメータグループを使用するようにクラスターを変更する必要があります。まず、カスタムクラスターパラメータグループを作成する必要があります。詳細については、「Amazon DocumentDB クラスターパラメータグループを作成する」を参照してください。クラスターが使用しているクラスターパラメータグループを確認します。
describe-db-clustersコマンドを次のパラメータをと共に使用します。--db-cluster-identifier— 必須。対象のクラスターの名前。--query— オプション。対象となるフィールドのみに出力を制限するクエリ。この場合は、クラスター名とクラスターパラメータグループ名。
aws docdb describe-db-clusters \ --db-cluster-identifier docdb-2019-05-07-13-57-08 \ --query 'DBClusters[*].[DBClusterIdentifier,DBClusterParameterGroup]'このオペレーションからの出力は次のようになります (JSON 形式)。
[ [ "docdb-2019-05-07-13-57-08", "custom3-6-param-grp" ] ]クラスターのパラメータグループの名前が
default(たとえば、default.docdb3.6など) の場合、続行する前にカスタムのクラスターパラメータグループを用意して、それをクラスターのパラメータグループにする必要があります。詳細については、次のトピックを参照してください。-
Amazon DocumentDB クラスターパラメータグループを作成する − 使用できるカスタムのクラスターパラメータグループがない場合、これを作成します。
-
Amazon DocumentDB クラスターの変更 - カスタムクラスターパラメータグループを使用するようにクラスターを変更します。
tlsクラスターパラメータの現在の値を確認します。このクラスターパラメータグループに関する詳細情報を取得するには、以下のパラメータを指定して、
describe-db-cluster-parametersオペレーションを使用します。--db-cluster-parameter-group-name— 必須。前のコマンドの出力からのクラスターパラメータグループ名を使用します。--query— オプション。対象となるフィールドのみに出力を制限するクエリ。この場合は、ParameterName、ParameterValue、AllowedValues、およびApplyType。
aws docdb describe-db-cluster-parameters \ --db-cluster-parameter-group-namecustom3-6-param-grp\ --query 'Parameters[*].[ParameterName,ParameterValue,AllowedValues,ApplyType]'このオペレーションからの出力は次のようになります (JSON 形式)。
[ [ "audit_logs", "disabled", "enabled,disabled", "dynamic" ], ["tls", "disabled", "disabled,enabled,fips-140-3", "static"], [ "ttl_monitor", "enabled", "disabled,enabled", "dynamic" ] ]-
tlsクラスターパラメータの値を設定します。tlsの値が必要な値ではない場合、このクラスターパラメータグループの値を変更します。tlsクラスターパラメータの値を変更するには、次のパラメータでmodify-db-cluster-parameter-groupオペレーションを使用します。--db-cluster-parameter-group-name— 必須。変更するクラスターパラメータグループの名前。これをdefault.*クラスターパラメータグループにすることはできません。--parameters— 必須。変更するクラスターパラメータグループのパラメータ一覧。-
ParameterName— 必須。変更するクラスターパラメータの名前。 -
ParameterValue— 必須。このクラスターパラメータの新しい値。クラスターパラメータのAllowedValuesのいずれかにする必要があります。-
enabled— クラスターは、TLSバージョン 1.0、1.1、1.2、または 1.3 を使用した安全な接続のみを受け入れます。 -
disabled— クラスターは、 を使用した安全な接続を受け付けませんTLS。 fips-140-3— クラスターは、連邦情報処理規格 (FIPS) の出版物 140-3 の要件に従ってのみ安全な接続を受け入れます。これは、ca-central-1、us-west-2、us-east-1、us-east-2、-1、-1 の各リージョンの Amazon DocumentDB 5.0 (エンジンバージョン us-gov-east3.0.3727) us-gov-westクラスター以降でのみサポートされています。
-
-
ApplyMethod- この変更が適用される場合。tleのような静的クラスターパラメータでは、この値をpending-rebootにする必要があります。-
pending-reboot- インスタンスの再起動後のみ、変更がインスタンスに適用されます。クラスターのすべてのインスタンスでこの変更を適用するには、各クラスターインスタンスを個別に再起動する必要があります。
-
-
次のコードは、各 DB インスタンスの再起動時に変更が適用されることを 無効化
tlsします。aws docdb modify-db-cluster-parameter-group \ --db-cluster-parameter-group-name custom3-6-param-grp \ --parameters "ParameterName=tls,ParameterValue=disabled,ApplyMethod=pending-reboot"次のコードでは、
tls(バージョン 1.0、1.1。 1.2 および 1.3)、各 DB インスタンスの再起動時に変更を適用します。aws docdb modify-db-cluster-parameter-group \ --db-cluster-parameter-group-name custom3-6-param-grp \ --parameters "ParameterName=tls,ParameterValue=enabled,ApplyMethod=pending-reboot"次のコードでは、 TLSで を有効にし
fips-140-3、再起動時に各 DB インスタンスに変更を適用します。aws docdb modify-db-cluster-parameter-group \ ‐‐db-cluster-parameter-group-name custom5-0-param-grp \ ‐‐parameters "ParameterName=tls,ParameterValue=fips-140-3,ApplyMethod=pending-reboot"このオペレーションからの出力は次のようになります (JSON 形式)。
{ "DBClusterParameterGroupName": "custom3-6-param-grp" } -
お客様の Amazon DocumentDB インスタンスを再起動
変更がクラスター内のすべてのインスタンスに適用されるように、クラスターの各インスタンスを再起動します。Amazon DocumentDB インスタンスを再起動するには、以下のパラメータを指定して
reboot-db-instanceオペレーションを使用します。--db-instance-identifier— 必須。再起動するインスタンスの識別子。
次のコードは、インスタンス
sample-db-instanceを再起動します。Linux、macOS、Unix の場合:
aws docdb reboot-db-instance \ --db-instance-identifiersample-db-instanceWindows の場合:
aws docdb reboot-db-instance ^ --db-instance-identifiersample-db-instanceこのオペレーションからの出力は次のようになります (JSON 形式)。
{ "DBInstance": { "AutoMinorVersionUpgrade": true, "PubliclyAccessible": false, "PreferredMaintenanceWindow": "fri:09:32-fri:10:02", "PendingModifiedValues": {}, "DBInstanceStatus": "rebooting", "DBSubnetGroup": { "Subnets": [ { "SubnetStatus": "Active", "SubnetAvailabilityZone": { "Name": "us-east-1a" }, "SubnetIdentifier": "subnet-4e26d263" }, { "SubnetStatus": "Active", "SubnetAvailabilityZone": { "Name": "us-east-1c" }, "SubnetIdentifier": "subnet-afc329f4" }, { "SubnetStatus": "Active", "SubnetAvailabilityZone": { "Name": "us-east-1e" }, "SubnetIdentifier": "subnet-b3806e8f" }, { "SubnetStatus": "Active", "SubnetAvailabilityZone": { "Name": "us-east-1d" }, "SubnetIdentifier": "subnet-53ab3636" }, { "SubnetStatus": "Active", "SubnetAvailabilityZone": { "Name": "us-east-1b" }, "SubnetIdentifier": "subnet-991cb8d0" }, { "SubnetStatus": "Active", "SubnetAvailabilityZone": { "Name": "us-east-1f" }, "SubnetIdentifier": "subnet-29ab1025" } ], "SubnetGroupStatus": "Complete", "DBSubnetGroupDescription": "default", "VpcId": "vpc-91280df6", "DBSubnetGroupName": "default" }, "PromotionTier": 2, "DBInstanceClass": "db.r5.4xlarge", "InstanceCreateTime": "2018-11-05T23:10:49.905Z", "PreferredBackupWindow": "00:00-00:30", "KmsKeyId": "arn:aws:kms:us-east-1:012345678901:key/0961325d-a50b-44d4-b6a0-a177d5ff730b", "StorageEncrypted": true, "VpcSecurityGroups": [ { "Status": "active", "VpcSecurityGroupId": "sg-77186e0d" } ], "EngineVersion": "3.6.0", "DbiResourceId": "db-SAMPLERESOURCEID", "DBInstanceIdentifier": "sample-cluster-instance-00", "Engine": "docdb", "AvailabilityZone": "us-east-1a", "DBInstanceArn": "arn:aws:rds:us-east-1:012345678901:db:sample-cluster-instance-00", "BackupRetentionPeriod": 1, "Endpoint": { "Address": "sample-cluster-instance-00.corcjozrlsfc.us-east-1.docdb.amazonaws.com", "Port": 27017, "HostedZoneId": "Z2R2ITUGPM61AM" }, "DBClusterIdentifier": "sample-cluster" } }インスタンスが再起動するまでには数分かかります。インスタンスを使用できるのは、そのステータスが [available] である場合のみです。コンソールまたは AWS CLIを使用して、インスタンスのステータスをモニタリングできます。詳細については、「Amazon DocumentDB インスタンスのステータスのモニタリング」を参照してください。
