セキュリティ - AWS 上の MongoDB

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティ

AWS クラウドにより実現されるスケーラブルで信頼性の高いプラットフォームは、お客様がアプリケーションやデータをすばやく安全にデプロイするのに役立ちます。

AWS インフラストラクチャでシステムを構築すると、お客様と AWS の間でセキュリティ上の責任が分担されます。この共有モデルにより、ホストオペレーティングシステムや仮想化レイヤーから、サービスが実行されている施設の物理的なセキュリティまで、コンポーネントが AWS によって運用、管理、制御されるため、運用上の負担を軽減させることができます。一方で、ゲストオペレーティングシステム (アップデートやセキュリティパッチを含む)、その他の関連するアプリケーション、ならびに AWS より提供されるセキュリティグループのファイアウォールの設定に関する責任と管理はお客様に任されます。AWS のセキュリティの詳細については、AWS セキュリティセンターを参照してください。

AWS Identity and Access Management (IAM)

このソリューションは、最小限の特権アクセスを持つ IAM ロールを利用しています。プロビジョニングされたインスタンスで SSH キー、シークレットキー、またはアクセスキーを保存することは必要なく、また推奨されません。

OS セキュリティ

クラスターノードのルートユーザーには、デプロイプロセス中に指定された SSH キーでのみアクセスできます。AWS はこれらの SSH キーを保存しないため、SSH キーを紛失するとこれらのインスタンスにアクセスできなくなる場合があります。

オペレーティングシステムパッチは、お客様の責任において定期的に実行する必要があります。

ネットワークセキュリティ

このソリューションのデフォルトのネットワークセキュリティ設定は、AWS のセキュリティベストプラクティスに従います。プロビジョンド MongoDB インスタンスは、プライベートサブネットにデプロイされ、以下の 3 つの方法でアクセスできます。

  • SSH 端末を使用して踏み台ホストインスタンスに接続することで。

  • AWS リソース (Amazon EC2 など) からMongoDBServerAccessSecurityGroupセキュリティグループ (セキュリティグループを使用して起動できる) このセキュリティグループには、アプリケーションインスタンスを含めることもできます。

  • 既知の IP ブロック CIDR からデータベースへのアクセスを許可する新しいルールを MongoDBServerSecurityGroup に含めることで。たとえば、データセンター内の VLAN 10.50.10.0/24 からの VPN または AWS Direct Connect 経由の接続を許可するインバウンドルールを追加できます。


                セキュリティグループへのインバウンドルールの追加

図 8: セキュリティグループへのインバウンドルールの追加

セキュリティグループ

セキュリティグループは、1 つ以上のインスタンスのトラフィックを制御するファイアウォールとして機能します。インスタンスを起動するときに、1 つ以上のセキュリティグループとインスタンスを関連付けます。各セキュリティグループに対してルールを追加し、関連付けられたインスタンスに対するトラフィックを許可します。セキュリティグループのルールはいつでも変更することができます。新しいルールは、セキュリティグループに関連付けられたすべてのインスタンスに自動的に適用されます。

このクイックスタートは 3 つのセキュリティグループを作成します。

  • MongoDBServerSecurityGroup は、踏み台ホストに、MongoDB インスタンスのポート 22 へのアクセスを許可するために使用します。

  • MongoDBServersSecurityGroup は、データベースポートと SSH ポート上の mongodb インスタンス (プライマリインスタンスとレプリカインスタンス) 間の通信に使用します。

  • MongoDBServerAccessSecurityGroup は、EC2 インスタンスに、データベースリスナー用に設定したポート上のデータベースへのアクセスを許可するために使用します。

クイックスタートのデプロイ後、これらのセキュリティグループの管理とルールの追加や削除は、お客様が行います。

データベースセキュリティ

このソリューションは、指定した管理者ユーザー名 (デフォルトでは "admin") と管理者パスワードを使用して新しい root ユーザーを設定します。権限のないデータベースへのアクセスは許可されません。さらに、レプリカセットノード間には内部キーファイル認証が設定されます。