Docs Menu
Docs Home
/ /

スナップショット ストア認証情報用の HashiCorp Vault

S 互換スナップ読み取りの3 AWS認証情報は、Ops Managerアプリケーションデータベースまたは HashiCorp Vault に保存できます。認証情報をキーヴォールトに保存すると、Ops Manager はオンデマンドで HashiCorp Vault から認証情報を取得します。オンデマンド取得により、機密認証情報を一元化、ローテーション、監査することができます。

Ops Manager は、HashiCorp Vault および ローカル認証情報ストレージをサポートしています。 S3 互換の読み取りごとに使用する方法を選択します。

Ops Manager は、 S3 互換の読み取りの 2 つの認証情報ストレージロケーションをサポートしています。

ストレージ ロケーション
説明

AppDB

Ops Manager は、 AWSアクセスキーとシークレットキーを Ops Managerアプリケーションデータベースに保存します。 AppDB はデフォルトのメソッドであり、HashiCorp Vault は必要ありません。

キーヴォールト

Ops Manager は、オンデマンドで HashiCorp Vault からAWSアクセスキーと秘密キーを読み取ります。 Ops Manager は、シークレット値ではなく、各シークレットへのパスのみを保存します。

セキュリティまたは監査するの要件により一元化されたシークレット マネージャーが必要な場合は、キーヴォールトを使用します。 HashiCorp Vault を使用しない場合は、AppDB を使用します。

HashiCorp Vault を S3 互換の読み取りの認証情報に使用するには、2 つの構成タスクを完了する必要があります。

  1. HashiCorp Vaultサーバーの接続と認証の詳細を保存するキーヴォールト構成を作成します。方法については、 「スナップショット ストア用のキーヴォールトの構成」を参照してください。

  2. キーヴォールトを使用するには、S3 互換の読み取りを構成します。キーヴォールト、 AWSアクセスキーへのパス、 AWS秘密キーへのパスを指定します。 Ops Manager はキーヴォールトから認証情報を読み取り、 AWS S3 に渡します。方法については、「 S3 互換スナップショット ストアを 1 つ追加する 」を参照してください。

MongoDB Ops Manager は、トークンまたは JWT のいずれかを使用して HashiCorp Vault に認証します。次に、Ops Manager は、 読み取りに指定された シークレット パス からAWSアクセス キーと シークレット キーを読み取ります。各パスは<secret-path>/<key> の形式で指定します。

Ops Manager は、HashiCorp Vault からAWSアクセスキーと秘密キーを読み取り、メモリにキャッシュします。 MongoDB Ops Manager はこれらの認証情報を Ops Managerアプリケーションデータベースに保存しません。

デフォルトでは 、Ops Manager は 5 分ごとにキャッシュされた認証情報を更新します。この間隔を変更するには、mms.keyVault.secret.cacheSoftTtlMsプロパティを設定します。

Ops Manager がキャッシュされた認証情報を更新するときに HashiCorp Vault が使用できない場合、Ops Manager は最後に確認された認証情報を使用し続け、イベントをログに記録するため、既存のバックアップは続行されます。キャッシュされた認証情報が存在せず、Ops Manager が HashiCorp Vault に到達できない場合、認証情報を必要とする操作は失敗します。

重要

Ops Manager には、HashiCorp Vault の可用性に固有のアラートはありません。 Vault にアクセスできなくなり、キャッシュされた認証情報が残っていない場合、バックアップが失敗すると、失敗したバックアップジョブに適用されるのと同じバックアップアラートがトリガーされます。バックアップ アラートを受信するには、バックアップアラート を構成します。方法については、「 アラート設定の構成 」を参照してください。

Ops Manager が、キーヴォールトを使用する S3 互換の読み取りを検証し、S3 が 401 または 403 エラーを返すと、Ops Manager は HashiCorp Vault から認証情報を一度だけ更新し、その後再試行します。再試行も失敗した場合、Ops Manager はエラーを返し、検証は失敗します。

Ops Manager は、次のように HashiCorp Vault認証の詳細を保護します。

  • MongoDB Ops Manager は、保管中の Vault認証シークレットを gen.keyファイルを使用して暗号化します。これは、Ops Manager が他の統合に使用するのと同じ方法です。

  • MongoDB Ops Manager は、 APIレスポンスおよび Ops Manager コンソールで、Vault認証シークレットとカスタム証明書を編集します。 MongoDB Ops Manager は保存された値ではなく [REDACTED] を返します。

S3 互換の読み取り認証情報に HashiCorp Vault を使用するには、次のものが必要です。

  • 到達可能な HashiCorp Vault 配置。

  • Ops Manager にAWS認証情報への読み取り専用アクセスを許可する Vault ポリシー、ロール、シークレット パス。

  • Ops Manager、バックアップデーモン、 HashiCorp Vault 間の安全で信頼性の高いネットワーク接続を確保します。

既存の S3 互換読み取りをローカル認証情報から HashiCorp Vault に切り替えるには、次の手順を実行します。

  1. 「 スナップショット ストア用のキーヴォールトの構成 」で説明されているように、キーヴォールト構成を作成します。

  2. S3 互換読み取りを編集し、「 1 つの既存の S 3互換スナップショット ストアを編集 」で説明されているように、その認証情報ストレージの場所をキーヴォールトに設定します。

戻る

S3 互換

項目一覧