Docs Menu
Docs Home
/
MongoDB Atlas
/
セキュリティ機能の構成
/
クラウドプロバイダー アクセス

統合 AWS アクセスのセットアップ

項目一覧

  • Overview
  • 必要なアクセス権
  • 前提条件
  • 手順
  • Amazon Web Services IAM ロールの管理

Overview

Data Federation Atlas保管時の暗号化 を含む一部の 機能は、Amazon Web Services IAM ロール で認証します。 。がAtlas Amazon Web Servicesサービスにアクセスする場合、 は IAM ロールを想定します。

Project Ownerロールがある場合は、Atlas Administration API または Atlas UI で使用する Atlas アカウントの想定された IAM ロールを設定できます。 Atlasは、 Amazon Web Servicesの統合アクセスのみをサポートしています。

注意

クラスターで保管時の暗号化が有効になっており、新しいIAMロールを設定する場合は、新しいロールが既存のKMSにアクセスできることを確認してください。

必要なアクセス権

統合Amazon Web Servicesアクセスを設定するには、プロジェクトに対するOrganization OwnerまたはProject Ownerアクセス権が必要です。

前提条件

手順

1

で新しいAmazon Web Services IAM ロールを作成します。Atlas

Amazon Web Servicesを使用して IAMAtlas CLI ロールを作成するには、次のコマンドを実行します。

atlas cloudProviders accessRoles aws create [options]

コマンドの構文とパラメータの詳細については、 Atlas CLIドキュメントのAtlas cloudProviders accessRoles Amazon Web Services create を参照してください。

Tip

参照: 関連リンク

コマンドによって返されたAtlasAWSAccountArnAtlasAssumedRoleExternalIdのフィールド値を、次のステップで使用するために保存します。

2

Amazon Web Services IAM ロールの信頼ポリシーを変更します。

  1. Amazon Web Servicesマネジメント コンソールにログインします。

  2. Identity and Access Management (IAM)サービスに移動します。

  3. 左側のナビゲーションからRolesを選択します。

  4. ロールのリストから Atlas アクセスに使用する既存の IAM ロールをクリックします。

  5. Trust Relationships タブを選択します。

  6. Edit trust relationshipボタンをクリックします。

  7. Policy Documentを編集します。 次のコンテンツを持つ新しいStatementオブジェクトを追加します。

    注意

    強調表示された行を、前の手順で返された値に置き換えます。

    {
       "Version":"2012-10-17",
       "Statement":[
          {
             "Effect":"Allow",
             "Principal":{
                "AWS":"<atlasAWSAccountArn>"
             },
             "Action":"sts:AssumeRole",
             "Condition":{
                "StringEquals":{
                   "sts:ExternalId":"<atlasAssumedRoleExternalId>"
                }
             }
          }
       ]
    }

  8. Update Trust Policyボタンをクリックします。

3

新しい IAM ロールを承認します。

を使用して Amazon Web Services IAM ロールを承認するには、 Atlas CLI、次のコマンドを実行します。

atlas cloudProviders accessRoles aws authorize <roleId> [options]

コマンドの構文とパラメータの詳細については、 Atlas CLIドキュメントの「 Atlas cloudProviders accessRoles Amazon Web Services authorize 」を参照してください。

コマンドが成功した場合は、RoleID を使用するAtlas サービスを構成するときにAmazon Web Services 値を使用できます。

1

cloudProviderAccess エンドポイントに書き込みリクエストを送信します。

API エンドポイントを使用して、新しいAmazon Web Services IAM ロールを作成します。Atlas は、Amazon Web Services アカウントの認証にこのロールを使用します。

返されたフィールド値 atlasAWSAccountArnatlasAssumedRoleExternalId を、次の手順で使用するために保存しておきます。

2

Amazon Web Services IAM ロールの信頼ポリシーを変更します。

  1. Amazon Web Servicesマネジメント コンソールにログインします。

  2. Identity and Access Management (IAM)サービスに移動します。

  3. 左側のナビゲーションからRolesを選択します。

  4. ロールのリストから Atlas アクセスに使用する既存の IAM ロールをクリックします。

  5. Trust Relationships タブを選択します。

  6. Edit trust relationshipボタンをクリックします。

  7. Policy Documentを編集します。 次のコンテンツを持つ新しいStatementオブジェクトを追加します。

    注意

    強調表示された行を、前の手順で返された値に置き換えます。

    {
       "Version":"2012-10-17",
       "Statement":[
          {
             "Effect":"Allow",
             "Principal":{
                "AWS":"<atlasAWSAccountArn>"
             },
             "Action":"sts:AssumeRole",
             "Condition":{
                "StringEquals":{
                   "sts:ExternalId":"<atlasAssumedRoleExternalId>"
                }
             }
          }
       ]
    }

  8. Update Trust Policyボタンをクリックします。

3

新しく作成した IAM ロールを承認します。

APIエンドポイントを使用して、新しい IAM 引き受けロール ARN を承認および構成します。API 呼び出しに成功した場合は、 Amazon Web Services を使用する Atlas サービスを構成するときに roleId 値を使用できます。

Amazon Web Services IAM アクセスのためのセットアップ手順を開始する

1

Atlas で、Project Integrations ページに移動します。

  1. まだ表示されていない場合は、希望するプロジェクトを含む組織を選択しますナビゲーション バーのOrganizationsメニュー

  2. まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。

  3. Projects メニューの横にある Options メニューをクリックし、 Integrations をクリックします。

    プロジェクト統合ページが表示されます。

2

Amazon Web Services IAM アクセス を設定します。

  1. AWS IAM Role AccessパネルでConfigureボタンをクリックします。

    注意

    すでに 1 つ以上のロールが設定されている場合、ボタンにはEditと表示されます。

  2. Authorize an AWS IAM Roleボタンをクリックします。

  3. Overviewの手順を読み、 Nextをクリックします。

  4. で使用する新しいAmazon Web Services IAM ロールを 作成する場合は、「 で新しいロールを作成 するAtlas Amazon Web ServicesCLI」手順を使用します。に認可する既存のAmazon Web Services IAM ロールがある場合はAtlas 、「 既存のロールに信頼関係を追加する 」手順を使用します。

Amazon Web Services CLIで新しいロールを作成

  1. 次のセクションを展開するには、 Create New Role with the AWS CLIをクリックします。

  2. JSON テキストをコピーし、 role-trust-policy.jsonという名前のファイルに保存します。

  3. テキストボックスに新しいAmazon Web Services IAM ロールの名前を入力します。

  4. Amazon Web Servicesコマンドラインインターフェイス (CLI ) がまだインストールされていない場合は、 ドキュメント を参照してください 。Amazon Web Services CLIがインストールされている場合は、次の手順に進みます。

  5. CLI コマンドをコピーし、コマンド プロンプトに入力します。

  6. CLI成功した場合、JSON コマンドは、新しく作成されたAmazon Web Services IAM ロールに関する情報を含む document を返します。Arnという名前のフィールドを見つけ、Atlas モーダル ウィンドウのEnter the Role ARNというラベルの付いたテキストボックスにコピーします。

  7. [Validate and Finish] をクリックします。

既存のロールへの信頼関係の追加

  1. 次のセクションを展開するには、 Add Trust Relationships to an Existing Roleをクリックします。

  2. JSON 信頼関係テキストをコピーします。

  3. Amazon Web Servicesのウェブ コンソールで、IAM ダッシュボードの Roles セクションに移動します。

  4. 認可するロールのクリック

  5. Trust relationships タブを選択します。

  6. Edit trust relationshipボタンをクリックします。

  7. 既存のテキストを、手順 2 でコピーした JSON テキストに置き換えます。

  8. [Update Trust Policy] をクリックします。

  9. ロール ARN をコピーし、Atlas モーダル ウィンドウのEnter the Role ARNというラベルの付いたテキストボックスに貼り付けます。

  10. [Validate and Finish] をクリックします。

認可手順の再開

で使用するAmazon Web Services IAMAtlas ロールを承認する手順をキャンセルした場合は、中断した場所から再開できます。

1

Atlas で、Project Integrations ページに移動します。

  1. まだ表示されていない場合は、希望するプロジェクトを含む組織を選択しますナビゲーション バーのOrganizationsメニュー

  2. まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。

  3. Projects メニューの横にある Options メニューをクリックし、 Integrations をクリックします。

    プロジェクト統合ページが表示されます。

2

認可を再開します。

  1. AWS IAM Role AccessパネルでConfigureボタンをクリックします。

    注意

    すでに 1 つ以上のロールが設定されている場合、ボタンにはEditと表示されます。

  2. 承認手順が進行中のロールは、 in progress ステータス。Resumeボタンをクリックして再開します 承認プロセス。

    進行中のロールの承認を完全にキャンセルするには、次をクリックします。 進行中のロールの横にあるDelete アイコン。

引き受けた IAM ロールの認証を解除する

Amazon Web ServicesAtlasAtlasAdministrationAPI またはAtlas UI を使用して、 アカウントから既存の IAM ロールの認証を解除できます。

注意

承認を解除する前に、関連付けられている Atlas サービスを IAM ロールから必ず削除してください。

を使用してAmazon Web Services IAMAtlas CLI ロールの認証を解除するには、次のコマンドを実行します。

atlas cloudProviders accessRoles aws deauthorize <roleId> [options]

コマンドの構文とパラメータの詳細については、 Atlas CLIドキュメントのAtlas cloudProviders accessRoles Amazon Web Servicesの認証解除を参照してください。

Tip

参照: 関連リンク

API ドキュメントに記載されているDELETE API エンドポイントを使用します。

1

Atlas で、Project Integrations ページに移動します。

  1. まだ表示されていない場合は、希望するプロジェクトを含む組織を選択しますナビゲーション バーのOrganizationsメニュー

  2. まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。

  3. Projects メニューの横にある Options メニューをクリックし、 Integrations をクリックします。

    プロジェクト統合ページが表示されます。

2

想定された IAM ロールの認証を解除します。

  1. AWS IAM Role AccessパネルでEditボタンをクリックします。

  2. 認証を解除する IAM ロールの横にある [ Delete ] ボタンをクリックします。

Amazon Web Services IAM ロールの管理

を使用して Amazon Web Services IAM ロールを承認するには、 Atlas CLI、次のコマンドを実行します。

atlas cloudProviders accessRoles aws authorize <roleId> [options]

コマンドの構文とパラメータの詳細については、 Atlas CLIドキュメントの「 Atlas cloudProviders accessRoles Amazon Web Services authorize 」を参照してください。

Amazon Web Servicesを使用して IAM ロールを管理できます。API

Atlas AWS IAM Role Access画面に移動するには:

1

Atlas で、Project Integrations ページに移動します。

  1. まだ表示されていない場合は、希望するプロジェクトを含む組織を選択しますナビゲーション バーのOrganizationsメニュー

  2. まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。

  3. Projects メニューの横にある Options メニューをクリックし、 Integrations をクリックします。

    プロジェクト統合ページが表示されます。

2

AtlasAWS IAM Role Access を構成します。

AWS IAM Role AccessパネルでConfigureボタンをクリックします。

注意

すでに 1 つ以上のロールが設定されている場合、ボタンにはEditと表示されます。

Atlas AWS IAM Role Access画面から次のアクションを実行できます。

  • 承認されたAmazon Web Services IAM ロールの一覧を表示します。

    ロールのリストには、ロールのARN 、その作成時刻、およびロールを使用するように構成された Atlas サービスが表示されます。

  • Amazon Web Services IAM ロールを承認します。

    Authorize an AWS IAM Roleボタンをクリックします。

    注意

    認証が進行中の場合、関連付けられたロールの横に [ Resume ] ボタンが表示されます。

    詳細な手順については、「統合Amazon Web Servicesアクセスの設定 」を参照してください。

  • Amazon Web Services IAM ロールの認証を解除します。

    ロールの横にあるDelete ] ボタンをクリックします。

    注意

    承認を解除する前に、関連付けられている Atlas サービスを IAM ロールから必ず削除してください。

  • Amazon Web Services IAM ロールの詳細を表示します。

    ロールの横にある省略記号( ... )アイコンをクリックし、[ View Role Details ] を選択します。

戻る

クラウドプロバイダー アクセス