自己管理型の X.509 認証の設定

項目一覧

前提条件

公開鍵インフラストラクチャを使用するようにプロジェクトを構成する
自己管理型の X.509 認証を使用したデータベースユーザーの追加

自己管理型 X. 509証明書により、データベースユーザーはプロジェクト内のクラスターにアクセスできます。データベースユーザーは Atlas ユーザーとは別です。データベースユーザーは MongoDB データベースにアクセスでき、Atlas ユーザーは Atlas アプリケーション自体にアクセスできます。

前提条件

自己管理型の X.509 証明書を使用するには、MongoDB Atlas と統合するための公開キーインフラストラクチャが必要です。

公開鍵インフラストラクチャを使用するようにプロジェクトを構成する

Atlas Atlasで、プロジェクトの {0 ページにGoします。GoAdvanced

まだ表示されていない場合は、プロジェクトを含む組織をナビゲーションバーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーションバーの Projects メニューからプロジェクトを選択します。
サイドバーで、 Security見出しの下のAdvancedをクリックします。
詳細ページが表示されます。

自己管理型の X.509 認証を有効にします。

Self-Managed X.509 Authentication を ON に切り替えます。

PEM でエンコードされた証明機関を提供します。

認証局（CA）は、次の方法で提供できます。

Uploadをクリックし、ファイルシステムから .pemファイルを選択します。
.pemファイルの内容を表示されたテキスト領域にコピーします。

同じ.pemファイルまたはテキスト領域内で複数の CA を連結できます。ユーザーは、提供された任意の CA によって生成された証明書を使用して認証できます。

CA をアップロードすると、プロジェクトレベルのアラートが自動的に作成され、CA の有効期限が切れる30日前に通知が送信され、 24時間ごとに繰り返されます。このアラートは、Atlas のAlert Settingsページから表示および編集できます。アラートの設定の詳細については、「アラート設定の構成」を参照してください。

[Save] をクリックします。

アップロード後に CA を編集するには、 Self-Managed X.509 Authentication Settingsをクリックします。アイコン。

自己管理型の X.509 認証を使用したデータベースユーザーの追加

AtlasGoDatabase AccessAtlas で、プロジェクトのページにGoします。

まだ表示されていない場合は、プロジェクトを含む組織をナビゲーションバーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーションバーの Projects メニューからプロジェクトを選択します。
サイドバーで、 Security見出しの下のDatabase Accessをクリックします。
[データベースアクセス ]ページが表示されます。

Add New Database User ダイアログボックスを開きます。

まだ表示されていない場合は Database Users タブをクリックします。
Add New Database User をクリックします。

CERTIFICATE を選択します。

ユーザーの情報を入力します。

フィールド

説明

Common Name

TLS/SSL 証明書によって保護されているユーザーのコモンネーム（CN）。詳細については、 RFC2253 を参照してください。。

たとえば、コモンネームが「Jane Doe」、組織が「MongoDB」、国が「米国」の場合は、次の内容をCommon Nameフィールドに挿入します。

CN=Jane Doe,O=MongoDB,C=US

User Privileges

次のいずれかの方法でロールを割り当てることができます。

[ Atlas adminを選択します。これにより、ユーザーにreadWriteAnyDatabaseといくつかの管理特権が付与されます。
Read and write to any databaseを選択します。これにより、ユーザーには任意のデータベースへの読み取りと書込みができる権限が付与されます。
任意のデータベースを読み取る権限をユーザーに付与するOnly read any databaseを選択します。
Atlas で過去に作成されたカスタムロールを選択するには、 Select Custom Roleを選択します。組み込みのデータベースユーザーロールで必要な権限セットを記述できない場合は、データベースユーザー用にカスタムロールを作成できます。カスタムロールの詳細については、「カスタムデータベースロールの構成」を参照してください。

[ Add Default Privilegesをクリックします。このオプションをクリックすると、個々のロールを選択し、ロールが適用されるデータベースを指定できます。オプションで、ロールとread readWriteロールでは、コレクションを指定することもできます。readとreadWriteのコレクションを指定しない場合、ロールはデータベース内のsystem以外のすべてのコレクションに適用されます。

次の表は、Atlas 固有の特権、それが適用されるデータベース、およびそれらが表す特権アクションについて説明しています。

Atlas 固有の権限	Database	権限アクション
`backup`	`admin`	`listDatabases` `listCollections` `listIndexes` `appendOplogNote` `getParameter` `serverStatus`
`clusterMonitor`	`admin`	`connPoolStats` `getCmdLineOpts` `getDefaultRWConcern` `getLog` `getParameter` `getShardMap` `hostInfo` `inprog` `listDatabases` `listSessions` `listShards` `replSetGetConfig` `replSetGetStatus` `serverStatus` `shardingState` `top`
`dbAdmin`	ユーザー設定	`bypassDocumentValidation` `changeStream` `collMod` `collStats` `compact` `convertToCapped` `createCollection` `createIndex` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `dropDatabase` `dropIndex` `dropSearchIndex` `enableProfiler` `find` `killCursors` `listCollections` `listIndexes` `listSearchIndexes` `planCacheIndexFilter` `planCacheRead` `planCacheWrite` `reIndex` `renameCollectionSameDB` `storageDetails` `updateSearchIndex` `validate`
`dbAdminAnyDatabase`	`local` と `config` を除き、ユーザー設定	`dbAdminAnyDatabase`
`enableSharding`		`enableSharding`
`read`	ユーザー設定	`changeStream` `collStats` `dbHash` `dbStats` `find` `killCursors` `listIndexes` `listCollections` `listSearchIndexes`
`readWrite`	ユーザー設定	`changeStream` `collStats` `convertToCapped` `createCollection` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `createIndex` `dropIndex` `dropSearchIndex` `find` `insert` `killCursors` `listIndexes` `listCollections` `listSearchIndexes` `remove` `renameCollectionSameDB` `update`
`killOpSession`	ユーザー設定	`inprog` `killop` `killAnySession` `killCursors` `listSessions`
`readWriteAnyDatabase`	`local` と `config` を除き、ユーザー設定	`readWriteAnyDatabase` `changeStream` `collStats` `convertToCapped` `createCollection` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `dropSearchIndex` `createIndex` `dropIndex` `find` `insert` `killCursors` `listIndexes` `listCollections` `listDatabases` `listSearchIndexes` `remove` `renameCollectionSameDB` `update`
`readAnyDatabase`	`local` と `config` を除き、ユーザー設定	`readAnyDatabase` `changeStream` `collStats` `dbHash` `dbStats` `find` `killCursors` `listIndexes` `listCollections` `listDatabases` `listSearchIndexes`

Atlas に組み込まれている権限の詳細については、「組み込みロール」を参照してください。

承認の詳細については、MongoDB マニュアルの「ロールベースのアクセス制御」と「組み込みロール」を参照してください。

[Add User] をクリックします。

戻る

データベースユーザー

AWS IAM