セキュリティの概要
- Cloud Managerへのプログラムによるアクセスのための OAuth 2.0認証はプレビュー機能として利用できます。
- 機能および関連するドキュメントは、プレビュー期間中にいつでも変更される可能性があります。 OAuth2.0 認証を使用するには、 Cloud Manager Public APIへのリクエストで使用する サービス アカウント を作成します。
Cloud Manager は、MongoDB エージェントと MongoDB 配置のセキュリティを確保するために、設定可能な暗号化、認証、および認可を提供します。 Cloud Manager は、 TLS 、 SCRAM-SHA- 1 、および SCRAM-SHA- 256 、 LDAP 、 Kerberos をサポートしています。
TLS 暗号化
Cloud Manager は、MongoDB Agent が次の場所に接続するときに、 TLSを使用して通信を暗号化できます。
Cloud Manager:
TLSを使用する MongoDB インスタンス。 Cloud Manager で各 MongoDB ホストの Use TLS設定を設定し、エージェントのTLS設定を構成する必要があります。 「 TLS を使用するように MongoDB Agent を構成する 」を参照してください。
アクセス制御と認証
MongoDB は、RBAC(Role-Based Access Control、ロールベースのアクセス制御)を使用して、MongoDB システムへのアクセスを決定します。 アクセス制御を使用して実行する場合、MongoDB はユーザーに認証を要求し、そのユーザーの権限を決定します。
MongoDB 配置で認証と MongoDB Agent が使用される場合:
オートメーションを使用して配置を管理する場合、Cloud Manager は適切な MongoDB ユーザーを作成し、必要なすべてのロールを付与して、その MongoDB ユーザーとして配置を認証します。
配置を管理するためにオートメーションを使用しない場合は、適切なアクセス権を持つ MongoDB Agent 監視およびバックアップ機能用の MongoDB ユーザーを作成する必要があります。
注意
Kerberos およびLDAP認証はMongoDB Enterpriseでのみ利用できます。
SCRAM-SHA-1 および SCRAM-SHA-256
Cloud Manager は、 SCRAM-SHA-1およびSCRAM-SHA-256認証メカニズムを使用して、MongoDB 配置でユーザーを認証できます。
MongoDB 配置でSCRAM認証と MongoDB Agent を使用する場合:
オートメーションを使用して配置を管理するには、Cloud Manager は適切な MongoDB ユーザーを作成し、必要なすべてのロールをそのユーザーに付与します。
配置を管理するためにオートメーションを使用しない場合は、MongoDB Agent 監視およびバックアップ機能用のMongoDB ユーザーを作成する必要があります。
LDAP
注意
MongoDB 8.0 以降、LDAP による認証と承認は非推奨です。この機能は利用可能であり、MongoDB 8 の有効期間を通じて変更なく動作し続けます。LDAP は今後のメジャーリリースで削除される予定です。
詳細については、「LDAP の廃止」を参照してください。
MongoDB Agent はLDAP認証メカニズムを使用して MongoDB 配置を認証できます。
MongoDB 配置で認証にLDAPを使用する場合は、次のタイミングで MongoDB Agent の MongoDB ユーザーを作成し、ホストの認証設定を指定する必要があります。
既存のホストの 設定を編集します。
Kerberos
MongoDB Agent は、Kerberos 認証メカニズムを使用して MongoDB 配置を認証できます。
MongoDB 配置で認証に Kerberos を使用する場合は、次の操作を行う必要があります。
オートメーションとバックアップ機能に同じ Kerberos UPNを使用します。
次の場合は、ホストの認証設定を指定します。
ホストを追加するか、
既存のホストの 設定を編集します。