Docs Menu
Docs Home
/ /
接続の構成
Docs Home
/ /
はじめる
/
接続の構成
Docs Home
/
開発
/
Data Federation
/
はじめる
/
接続の構成

X.509 認証の構成

X.509 証明書により、データベースユーザーにプロジェクト内のクラスターへのアクセス権を提供できます。データベースユーザーと Atlas ユーザー は異なることに注意してください 。データベース ユーザーはMongoDBデータベースにアクセスでき、Atlas ユーザーは Atlasアプリケーション自体にアクセスできます。

X.509 証明書は次のいずれかのタイプになります。

前提条件

X.509 証明書を自己管理するには、Atlas と統合するための公開鍵基盤(PKI) が必要です。

公開鍵インフラストラクチャを使用するようにプロジェクトを構成する

自己管理型のX.509 証明書を使用する場合は、提供した PKI を使用するようにプロジェクトを構成する必要があります。

1

Atlas Atlasで、プロジェクトの {0 ページにGoします。GoAdvanced

  1. まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。

  3. サイドバーで、 Security見出しの下のDatabase & Network Accessをクリックします。

  4. サイドバーで、Advanced をクリックします。

    詳細ページが表示されます。

2

自己管理型の X.509 認証を有効にします。

Self-Managed X.509 AuthenticationON に切り替えます。

3

PEM でエンコードされた証明機関を提供します。

Atlas CLI を使用して、指定したプロジェクトのカスタマー管理 X.509 構成を 1 つ保存するには、次のコマンドを実行します。

atlas security customerCerts create [options]

コマンド構文とパラメータの詳細については、Atlas CLI Atlassecurity customerCerts create の ドキュメントを参照してください。

Atlas UI を使用して、次のいずれかの方法で認証局(CA)を提供できます。

  • Upload をクリックし、ファイルシステムから .pemファイルを選択し、Save をクリックします。

  • .pemファイルの内容を表示されたテキスト領域にコピーし、[ Save ] をクリックします。

同じ.pemファイルまたはテキスト領域内で複数の CA を連結できます。 ユーザーは、提供された任意の CA によって生成された証明書を使用して認証できます。

CA をアップロードすると、プロジェクトレベルのアラートが自動的に作成され、CA の有効期限が切れる30日前に通知が送信され、 24時間ごとに繰り返されます。 このアラートは、Atlas のAlert Settingsページから表示および編集できます。 アラートの設定の詳細については、「 アラート設定の構成 」を参照してください。

4

[Save] をクリックします。

アップロード後に CA を編集するには、 Self-Managed X.509 Authentication Settingsをクリックします。アイコン。

自己管理型の X.509 認証を使用したデータベースユーザーの追加

1

AtlasGoDatabase & Network AccessAtlas で、プロジェクトの ページにGoします。

  1. まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。

  3. サイドバーで、 Security見出しの下のDatabase & Network Accessをクリックします。

[ データベースとネットワーク アクセス ] ページが表示されます。

2

Add New Database User ダイアログ ボックスを開きます。

  1. まだ表示されていない場合は Database Users タブをクリックします。

  2. Add New Database User をクリックします。

3

CERTIFICATE を選択します。

4

ユーザーの情報を入力します。

フィールド
説明

Common Name

TLS/SSL 証明書によって保護されているユーザーのコモン ネーム(CN)。詳細については、RFC 2253 を参照してください。

たとえば、コモンネームが「Jane Doe」、組織が「MongoDB」、国が「米国」の場合は、次の内容をCommon Nameフィールドに挿入します。

CN=Jane Doe,O=MongoDB,C=US

User Privileges

次のいずれかの方法でロールを割り当てることができます。

  • [ Atlas adminを選択します。これにより、ユーザーにreadWriteAnyDatabaseといくつかの管理特権が付与されます。

  • readWriteAnyDatabaseを選択します。これにより、ユーザーには任意のデータベースへの読み取りと書込みができる権限が付与されます。

  • 任意のデータベースを読み取る権限をユーザーに付与するreadAnyDatabaseを選択します。

  • Atlas で過去に作成されたカスタムロールを選択するには、 Select Custom Roleを選択します。 組み込みのデータベースユーザー ロールで必要な権限セットを記述できない場合は、データベースユーザー用にカスタムロールを作成できます。 カスタムロールの詳細については、「カスタム データベース ロールの構成 」を参照してください。

  • [ Add Default Privilegesをクリックします。 このオプションをクリックすると、個々のロールを選択し、ロールが適用されるデータベースを指定できます。 オプションで、 ロールとread readWriteロールでは、コレクションを指定することもできます。readreadWriteのコレクションを指定しない場合、ロールはデータベース内のsystem以外のすべてのコレクションに適用されます。

Atlas に組み込まれている特権の詳細については、ロールと特権の概要 を参照してください。

承認の詳細については、MongoDB マニュアルの 「ロールベースのアクセス制御 」と 「組み込みロール 」を参照してください。

5

[Add User] をクリックします。

戻る

データベースユーザー

次へ

AWS IAM

項目一覧