データの保護

Overview

MongoDB は、データベース接続を保護する複数のメカニズムをサポートしています。このページでは、これらのそれぞれのメカニズムを示すコード例が紹介されています。

Tip

このページに記載されているメカニズムの詳細については、各セクションに提供されているリンクを参照してください。

このページの例を使用するには、コード例をサンプルアプリケーションまたは独自のアプリケーションにコピーします。<hostname> などのコード例にあるすべてのプレースホルダーを、 MongoDBデプロイに関連する値に置き換えてください。

サンプルアプリケーション

次のサンプルアプリケーションを使用して、このページのコード例をテストできます。サンプルアプリケーションを使用するには、次の手順を実行します。

プロジェクトにMongoDB PHPライブラリがインストールされていることを確認してください。 MongoDB PHPライブラリのインストールの詳細については、「ダウンロードとインストールガイド」を参照してください。
次のコードをコピーし、新しい.phpファイルに貼り付けます。
このページからコード例をコピーし、ファイル内の指定された行に貼り付けます。

1 <?php
2 
3 require __DIR__ . '/../vendor/autoload.php';
4 
5 // Start example code here
6 
7 // End example code here
8 
9 try {
10     $client->test->command(['ping' => 1]);
11     echo 'Successfully pinged the MongoDB server.', PHP_EOL;
12 } catch (MongoDB\Driver\Exception\RuntimeException $e) {
13     printf("Failed to ping the MongoDB server: %s\n", $e->getMessage());
14 }

SCRAM-SHA-256

次のコードは、 SCRAM-SHA-256認証メカニズムを使用して認証する方法を示しています。

$uriOptions = [
    'username' => '<username>',
    'password' => '<password>',
    'authSource' => '<authentication database>',
    'authMechanism' => 'SCRAM-SHA-256',
];
$client = new MongoDB\Client(
    'mongodb://<hostname>:<port>',
    $uriOptions,
);

$uri = 'mongodb://<username>:<password>@<hostname>:<port>/?authSource=admin&authMechanism=SCRAM-SHA-256';
$client = new MongoDB\Client($uri);

SCRAM-SHA-256認証の詳細については、認証ガイドの「SCRAM 認証」を参照してください。

MONGODB X.509

次のコードは、 X.509認証メカニズムを使用して認証するための接続 URI を作成する方法を示しています。

$uriOptions = [
    'tls' => true,
    'tlsCertificateKeyFile' => '<file path>',
    'authMechanism' => 'MONGODB-X509',
];
$client = new MongoDB\Client(
    'mongodb://<hostname>:<port>',
    $uriOptions,
);

$uri = 'mongodb://<hostname>:<port>/?tls=true&tlsCertificateKeyFile=<file path>&authMechanism=MONGODB-X509';
$client = new MongoDB\Client($uri);

X.509認証の詳細については、認証ガイドの「X.509 認証」を参照してください。

MongoDB-AWS

次のセクションでは、 MONGODB-AWS認証メカニズムを使用してMongoDBに接続する方法を示します。 MONGODB-AWS メカニズムを使用すると、 MongoDB PHPライブラリは次のソースからAmazon Web Servicesの認証情報をリストされている順序で検索しようとします。

接続stringまたは $uriOptions 配列パラメータの一部として MongoDB\Client コンストラクタに渡されるオプション
環境変数
Amazon Web Services EKS AssumeRoleWithWebIdentityリクエスト
ECSコンテナのメタデータ
EC 2インスタンスのメタデータ

各セクションでは、クライアントまたは代替の外部ソースからAmazon Web Servicesの認証情報を取得するときに MONGODB-AWS で認証する方法を示します。

Amazon Web Servicesによる認証の詳細については、認証ガイドの「 Amazon Web Services IAM 認証」を参照してください。

MongoDB $ Client 認証情報

次のコードは、 Amazon Web Servicesの認証情報を MongoDB\Client コンストラクターに渡して MONGODB-AWS で認証する方法を示しています。

$uriOptions = [
    'username' => '<AWS IAM access key ID>',
    'password' => '<AWS IAM secret access key>',
    'authMechanism' => 'MONGODB-AWS',
];
$client = new MongoDB\Client(
    'mongodb://<hostname>:<port>',
    $uriOptions,
);

$uri = 'mongodb://<AWS IAM access key ID>:<AWS IAM secret access key>@<hostname>:<port>/?authMechanism=MONGODB-AWS';
$client = new MongoDB\Client($uri);

MongoDB\Client 認証情報を取得してAmazon Web Servicesで認証する方法の詳細については、認証ガイドの「 MongoDB \Client 認証情報」を参照してください。

外部認証情報

次のコードは、環境変数、 AssumeRoleWithWebIdentityリクエスト、 ECSメタデータ、または EC 2インスタンスメタデータから認証情報を取得するときに、 MONGODB-AWSで認証する方法を示しています。

$client = new MongoDB\Client(
    'mongodb://<hostname>:<port>',
    ['authMechanism' => 'MONGODB-AWS'],
);

$uri = 'mongodb://<hostname>:<port>/?authMechanism=MONGODB-AWS';
$client = new MongoDB\Client($uri);

外部認証情報を取得してAmazon Web Servicesで認証する方法の詳細については、認証ガイドの次のセクションを参照してください。

トランスポート層セキュリティ (TLS)

TLS の有効化

次のコードは、 MongoDBインスタンスへの接続に対して TLS を有効にする方法を示しています。

$client = new MongoDB\Client(
    'mongodb://<hostname>:<port>/',
    ['tls' => true],
);

$uri = 'mongodb://<hostname>:<port>/?tls=true';
$client = new MongoDB\Client($uri);

TLS を有効にする方法の詳細については、 TLS 構成ガイドの「 TLSを有効にする」を参照してください。

証明機関（CA）ファイルの指定

次のコードは、 MongoDBインスタンスへの接続用の CAファイルへのパスを指定する方法を示しています。

$client = new MongoDB\Client(
    'mongodb://<hostname>:<port>/',
    ['tls' => true, 'tlsCAFile' => '/path/to/ca.pem'],
);

$uri = 'mongodb://<hostname>:<port>/?tls=true&tlsCAFile=/path/to/ca.pem';
$client = new MongoDB\Client($uri);

CAファイルの指定の詳細については、「 TLS 構成ガイドのCA ファイルの指定」を参照してください。

OCSP チェックの無効化

次のコードは、ドライバーが OCSP エンドポイントに接続するのを防ぐ方法を示しています。

$client = new MongoDB\Client(
    'mongodb://<hostname>:<port>/',
    ['tls' => true, 'tlsDisableOCSPEndpointCheck' => true],
);

$uri = 'mongodb://<hostname>:<port>/?tls=true&tlsDisableOCSPEndpointCheck=true';
$client = new MongoDB\Client($uri);

OCSP チェックを無効にする方法の詳細については、 TLS 構成ガイドのOCSPを参照してください。

証明書失効リスト（CRL）の指定

次のコードは、CRL に対してサーバーの証明書を検証するようにドライバーに指示する方法を示しています。

$client = new MongoDB\Client(
    'mongodb://<hostname>:<port>/',
    ['tls' => true],
    ['crl_file' => '/path/to/file.pem'],
);

CRL の指定の詳細については、TLS 構成ガイドの「証明書失効リスト」を参照してください。

クライアント証明書の提示

次のコードは、ドライバーがMongoDBデプロイに提示するクライアント証明書を指定する方法を示しています。

$client = new MongoDB\Client(
    'mongodb://<hostname>:<port>/',
    ['tls' => true, 'tlsCertificateKeyFile' => '/path/to/client.pem'],
);

$uri = 'mongodb://<hostname>:<port>/?tls=true&tlsCertificateKeyFile=/path/to/client.pem';
$client = new MongoDB\Client($uri);

クライアント証明書の指定の詳細については、 TLS 構成ガイドの「クライアント証明書の提示」を参照してください。

証明書鍵ファイルのパスワードの指定

次のコードは、クライアント証明書のパスワードを指定する方法を示しています。

$client = new MongoDB\Client(
    'mongodb://<hostname>:<port>/',
    [
        'tls' => true,
        'tlsCertificateKeyFile' => '/path/to/client.pem',
        'tlsCertificateKeyFilePassword' => '<password>',
    ],
);

$uri = 'mongodb://<hostname>:<port>/?tls=true&tlsCertificateKeyFile=/path/to/client.pem&tlsCertificateKeyFilePassword=<password>';
$client = new MongoDB\Client($uri);

重要

<password>接続 URI でプレースホルダーを置き換えるときは、値をパーセントエンコードしていることを確認します。

キーファイルのパスワードの指定の詳細については、 TLS 構成ガイドの「キーパスワードの指定」を参照してください。

AllowInsecureTls

次のコードは、証明書検証とホスト名検証の両方を無効にするのと同じ効果がある TLS 制約を緩和する方法を示しています。

$client = new MongoDB\Client(
    'mongodb://<hostname>:<port>/',
    ['tls' => true, 'tlsInsecure' => true],
);

$uri = 'mongodb://<hostname>:<port>/?tls=true&tlsInsecure=true';
$client = new MongoDB\Client($uri);

安全でない TLS の許可の詳細については、 TLS 構成ガイドの「安全でない TLS を許可する」を参照してください。

警告

tlsInsecureオプションをtrueに設定すると、アプリケーションがセキュリティ上のリスクに生じる可能性があります。このオプションを有効にすると、アプリケーションは安全でなくなり、期限切れの証明書や有効なクライアントインスタンスをみなした外部プロセスに対して脆弱になる可能性があります。

証明書検証の無効化

次のコードは、証明書の検証を無効にする方法を示しています。

$client = new MongoDB\Client(
    'mongodb://<hostname>:<port>/',
    ['tls' => true, 'tlsAllowInvalidCertificates' => true],
);

$uri = 'mongodb://<hostname>:<port>/?tls=true&tlsAllowInvalidCertificates=true';
$client = new MongoDB\Client($uri);

証明書検証を無効にする方法の詳細については、 TLS 構成ガイドの「安全でない TLS の許可」を参照してください。

ホスト名検証を無効化する

次のコードは、ホスト名検証を無効にする方法を示しています。

$client = new MongoDB\Client(
    'mongodb://<hostname>:<port>/',
    ['tls' => true, 'tlsAllowInvalidHostnames' => true],
);

$uri = 'mongodb://<hostname>:<port>/?tls=true&tlsAllowInvalidHostnames=true';
$client = new MongoDB\Client($uri);

ホスト名検証を無効にする方法の詳細については、 TLS 構成ガイドの「安全でない TLS の許可」を参照してください。

戻る

ログ記録

認証

1	<?php
2
3	require __DIR__ . '/../vendor/autoload.php';
4
5	// Start example code here
6
7	// End example code here
8
9	try {
10	$client->test->command(['ping' => 1]);
11	echo 'Successfully pinged the MongoDB server.', PHP_EOL;
12	} catch (MongoDB\Driver\Exception\RuntimeException $e) {
13	printf("Failed to ping the MongoDB server: %s\n", $e->getMessage());
14	}