自己管理型の X.509 認証の設定

項目一覧

Considerations

必要なアクセス権
前提条件
公開鍵インフラストラクチャを使用するようにプロジェクトを構成する
自己管理型の X.509 認証設定の表示または変更
自己管理型の X.509 認証を使用したデータベースユーザーの追加

自己管理型 X.509 証明書（相互 TLS または mTLS とも呼ばれます）は、データベースユーザーにプロジェクト内のクラスターへのアクセスを提供します。データベースユーザーは Atlas ユーザーとは別です。データベースユーザーは MongoDB データベースにアクセスでき、Atlas ユーザーは Atlas アプリケーション自体にアクセスできます。

Considerations

でLDAP 認証を有効にすると、Atlas が管理する X. 509証明書で認証するユーザーを使用してクラスターに接続することはできません。

LDAP認証を有効にすると、自己管理型の X. 509証明書で認証するユーザーを使用してクラスターに接続できるようになります。ただし、X. 509証明書内のユーザーのコモンネームは、LDAP を使用してデータベースにアクセスする権限を持つユーザーの識別名と一致する必要があります。

自己管理型証明書で認証するユーザーと、Atlas が管理する X.509 証明書で認証するユーザーの両方を同じデータベースに含めることができます。

必要なアクセス権

データベースユーザーを管理するには、Atlas への Organization OwnerまたはProject Ownerアクセス権が必要です。

前提条件

自己管理型の X.509 証明書を使用するには、MongoDB Atlas と統合するための公開キーインフラストラクチャが必要です。

公開鍵インフラストラクチャを使用するようにプロジェクトを構成する

Atlas Atlasで、プロジェクトの {0 ページにGoします。GoAdvanced

まだ表示されていない場合は、プロジェクトを含む組織をナビゲーションバーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーションバーの Projects メニューからプロジェクトを選択します。
サイドバーで、 Security見出しの下のAdvancedをクリックします。
詳細ページが表示されます。

自己管理型の X.509 認証を有効にします。

Self-Managed X.509 Authentication を ON に切り替えます。

PEM でエンコードされた証明機関を提供します。

Atlas CLI を使用して、指定したプロジェクトのカスタマー管理 X.509 構成を 1 つ保存するには、次のコマンドを実行します。

atlas security customerCerts create [options]

コマンド構文とパラメータの詳細については、Atlas CLI Atlassecurity customerCerts create のドキュメントを参照してください。

Tip

参照: 関連リンク

Atlas UI を使用して、次のいずれかの方法で認証局（CA）を提供できます。

Uploadをクリックし、ファイルシステムから.pemファイルを選択し、 Saveをクリックします。
.pemファイルの内容を表示されたテキスト領域にコピーし、[ Save ] をクリックします。

同じ.pemファイルまたはテキスト領域内で複数の CA を連結できます。ユーザーは、提供された任意の CA によって生成された証明書を使用して認証できます。

CA をアップロードすると、プロジェクトレベルのアラートが自動的に作成され、CA の有効期限が切れる 30 日前に通知が送信され、24 時間ごとに繰り返されます。このアラートは、Atlas のAlert Settingsページから表示および編集できます。アラートの設定の詳細については、「アラート設定の構成」を参照してください。

自己管理型の X.509 認証設定の表示または変更

Atlas CLI を使用して、指定したプロジェクトのカスタマー管理 1 つの X.509 構成の詳細を返すには、次のコマンドを実行します。

atlas security customerCerts describe [options]

Atlas CLI を使用して、指定したプロジェクトのカスタマー管理 X.509 構成を無効にするには、次のコマンドを実行します。

atlas security customerCerts disable [options]

前のコマンドの構文とパラメーターの詳細については、 Atlas CLIドキュメントのAtlas security customerCerts describeおよびAtlas security customerCerts disable を参照してください。

Tip

参照: 関連リンク

Atlas UI を使用して CA を表示または編集するには、 Self-Managed X.509 Authentication Settingsをクリックします。アイコン。

自己管理型の X.509 認証を使用したデータベースユーザーの追加

AtlasGoDatabase AccessAtlas で、プロジェクトのページにGoします。

まだ表示されていない場合は、プロジェクトを含む組織をナビゲーションバーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーションバーの Projects メニューからプロジェクトを選択します。
サイドバーで、 Security見出しの下のDatabase Accessをクリックします。
[データベースアクセス ]ページが表示されます。

Add New Database User ダイアログボックスを開きます。

まだ表示されていない場合は、 Database Usersタブをクリックします。
Add New Database User をクリックします。

CERTIFICATE を選択します。

ユーザーの情報を入力します。

フィールド

説明

Distinguished Name

ユーザーのコモンネーム（CN）と任意で追加の識別名フィールド（ RFC4514 ）を次の表から削除します。

名前	説明	タイプ	サイズ（MB単位）
`businesscategory`	`businessCategory` 組織が実行するビジネスの種類を記述する属性。	DirectoryString	SIZE(1..128)
`c`	2 文字の ISO3166 国コード。	StringType	SIZE(2)
`cn`	オブジェクトのコモンネーム。オブジェクトが人に対応する場合、通常はその人の氏名です。	StringType	SIZE(1..64)
`countryofcitizenship`	RFC 3039 `CountryOfCitizenship` 少なくとも 1 つの国の識別子を含む属性。 ISO3166 を受け入れコードのみ。	PrintableString	SIZE(2)
`countryofresidence`	RFC 3039 `CountryOfResidence` 少なくとも 1 つの国の値を含む属性。 ISO3166 を受け入れコードのみ。	PrintableString	SIZE(2)
`dateofbirth`	RFC 3039 `DateOfBirth` 属性は、対象の誕生日を指定します。	この形式の一般化時間は`YYYYMMDD000000Z`です。
`dc`	`domainComponent` DNS ドメイン名を含む属性タイプ。	StringType
`dn`	`dnQualifier` エントリの相対的識別名に追加する明確な情報を含む属性タイプ。	DirectoryString	SIZE(1..64)
`e`	Versign 証明書のメールアドレス。
`emailaddress`	`emailAddress` （RSA PKCS#9 拡張子）属性で、電子メールアドレスを非構造化 ASCII string として指定します。	IA5String
`gender`	RFC 3039 `Gender` 対象の性の値を指定する属性。は、 `M` 、 `F` 、 `m` 、または`f`に対応しています。	PrintableString	SIZE(1)
`generation`	`generationQualifier` 属性タイプ。名前文字列は通常、人の名前の接尾辞部分です。	DirectoryString	SIZE(1..64)
`givenname`	姓ではない人の名前の一部である名前文字列。	DirectoryString	SIZE(1..64)
`initials`	姓を除く、個人の名前の一部またはすべての最初の語。	DirectoryString	SIZE(1..64)
`l`	`localityName` 都市、カウント、またはその他の地理的領域など、地域または場所の名前を含む属性。	StringType	SIZE(1..64)
`name`	（ `id-at-name` ）名前構文を持つユーザー属性タイプが継承する属性スーパータイプ。	DirectoryString	SIZE(1..64)
`nameofbirth`	ISIS-MTT `NameAtBirth` 出力時の人の名前を指定する属性。	DirectoryString	SIZE(1..64)
`o`	組織の名前。	StringType	SIZE(1..64)
`ou`	組織単位の名前。	StringType	SIZE(1..64)
`placeofbirth`	RFC 3039 `PlaceOfBirth` 出力場所の値を指定します。	DirectoryString	SIZE(1..128)
`postaladdress`	RFC 3039 `PostalAddress`。これには、住所と地理的情報を保存するための`stateOrProvinceName`と`localityName`の属性タイプが含まれます（存在する場合）。	シーケンス	DirectoryString(SIZE(1..30)) のサイズ（1..6)
`postalcode`	`postalCode` 属性は、郵便サービスが識別するために使用するコードを指定します。	DirectoryString	SIZE(1..40)
`pseudonym`	RFC 3039 `pseudonym` 登録名で定義されたもの以外のスペルを持つ名前や名前など、疑似名を指定する属性。	DirectoryString	SIZE(1..64)
`serialnumber`	デバイスシリアル番号名。	StringType	SIZE(1..64)
`sn`	デバイスシリアル番号名。	StringType	SIZE(1..64)
`st`	州、または州名。	StringType	SIZE(1..64)
`street`	住所の名前。	StringType	SIZE(1..64)
`surname`	X520name 型の属性の命名。	DirectoryString	SIZE(1..64)
`t`	`Title` 属性。組織内のサブジェクトの指定された位置または機能を含みます。	DirectoryString	SIZE(1..64)
`telephonenumber`	`id-at-telephoneNumber`は、国際電話番号の国際承認された形式です。	PrintableString	サイズ（1..32）
`uid`	LDAP ユーザー ID。	DirectoryString
`uniqueidentifier`	オブジェクトの一意の識別子。	DirectoryString
`unstructuredaddress`	PKCS#9 属性は、サブジェクトのアドレスを非構造化されたディレクトリstring として指定します。	DirectoryString
`unstructuredname`	PKCS#9 属性は、サブジェクトの名前を非構造化された ASCII string として指定します。	DirectoryString	SIZE(1..64)

識別名フィールドの詳細については、 RFC4514 を参照してください。。

以下に例を挙げます。

CN=Jane Doe,O=MongoDB,C=US

User Privileges

次のいずれかの方法でロールを割り当てることができます。

[ Atlas adminを選択します。これにより、ユーザーにreadWriteAnyDatabaseといくつかの管理特権が付与されます。
Read and write to any databaseを選択します。これにより、ユーザーには任意のデータベースへの読み取りと書込みができる権限が付与されます。
任意のデータベースを読み取る権限をユーザーに付与するOnly read any databaseを選択します。
Atlas で過去に作成されたカスタムロールを選択するには、 Select Custom Roleを選択します。組み込みのデータベースユーザーロールで必要な権限セットを記述できない場合は、データベースユーザー用にカスタムロールを作成できます。カスタムロールの詳細については、「カスタムデータベースロールの構成」を参照してください。

[ Add Default Privilegesをクリックします。このオプションをクリックすると、個々のロールを選択し、ロールが適用されるデータベースを指定できます。オプションで、ロールとread readWriteロールでは、コレクションを指定することもできます。readとreadWriteのコレクションを指定しない場合、ロールはデータベース内のsystem以外のすべてのコレクションに適用されます。

次の表は、Atlas 固有の特権、それが適用されるデータベース、およびそれらが表す特権アクションについて説明しています。

Atlas 固有の権限	Database	権限アクション
`backup`	`admin`	`listDatabases` `listCollections` `listIndexes` `appendOplogNote` `getParameter` `serverStatus`
`clusterMonitor`	`admin`	`connPoolStats` `getCmdLineOpts` `getDefaultRWConcern` `getLog` `getParameter` `getShardMap` `hostInfo` `inprog` `listDatabases` `listSessions` `listShards` `replSetGetConfig` `replSetGetStatus` `serverStatus` `shardingState` `top`
`dbAdmin`	ユーザー設定	`bypassDocumentValidation` `changeStream` `collMod` `collStats` `compact` `convertToCapped` `createCollection` `createIndex` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `dropDatabase` `dropIndex` `dropSearchIndex` `enableProfiler` `find` `killCursors` `listCollections` `listIndexes` `listSearchIndexes` `planCacheIndexFilter` `planCacheRead` `planCacheWrite` `reIndex` `renameCollectionSameDB` `storageDetails` `updateSearchIndex` `validate`
`dbAdminAnyDatabase`	`local` と `config` を除き、ユーザー設定	`dbAdminAnyDatabase`
`enableSharding`		`enableSharding`
`read`	ユーザー設定	`changeStream` `collStats` `dbHash` `dbStats` `find` `killCursors` `listIndexes` `listCollections` `listSearchIndexes`
`readWrite`	ユーザー設定	`changeStream` `collStats` `convertToCapped` `createCollection` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `createIndex` `dropIndex` `dropSearchIndex` `find` `insert` `killCursors` `listIndexes` `listCollections` `listSearchIndexes` `remove` `renameCollectionSameDB` `update`
`killOpSession`	ユーザー設定	`inprog` `killop` `killAnySession` `killCursors` `listSessions`
`readWriteAnyDatabase`	`local` と `config` を除き、ユーザー設定	`readWriteAnyDatabase` `changeStream` `collStats` `convertToCapped` `createCollection` `createSearchIndex` `dbHash` `dbStats` `dropCollection` `dropSearchIndex` `createIndex` `dropIndex` `find` `insert` `killCursors` `listIndexes` `listCollections` `listDatabases` `listSearchIndexes` `remove` `renameCollectionSameDB` `update`
`readAnyDatabase`	`local` と `config` を除き、ユーザー設定	`readAnyDatabase` `changeStream` `collStats` `dbHash` `dbStats` `find` `killCursors` `listIndexes` `listCollections` `listDatabases` `listSearchIndexes`

Atlas に組み込まれている権限の詳細については、「組み込みロール」を参照してください。

承認の詳細については、MongoDB マニュアルの「ロールベースのアクセス制御」と「組み込みロール」を参照してください。

[Add User] をクリックします。

戻る

ワークロード（アプリケーション）

保管時の暗号化

Considerations

必要なアクセス権

前提条件

公開鍵インフラストラクチャを使用するようにプロジェクトを構成する

Atlas Atlasで、プロジェクトの {0 ページにGoします。Go.css-h15tq0{font-style:normal;font-weight:700;}Advanced

自己管理型の X.509 認証を有効にします。

PEM でエンコードされた証明機関を提供します。

Tip

参照: 関連リンク

自己管理型の X.509 認証設定の表示または変更

Tip

参照: 関連リンク

自己管理型の X.509 認証を使用したデータベースユーザーの追加

AtlasGoDatabase AccessAtlas で、プロジェクトの ページにGoします。

Add New Database User ダイアログ ボックスを開きます。

CERTIFICATE を選択します。

ユーザーの情報を入力します。

[Add User] をクリックします。

Atlas Atlasで、プロジェクトの {0 ページにGoします。GoAdvanced

AtlasGoDatabase AccessAtlas で、プロジェクトのページにGoします。

Add New Database User ダイアログボックスを開きます。