MongoDB Agent による構成ファイルとパスワードの管理方法の設定
- Cloud Managerへのプログラムによるアクセスのための OAuth 2.0認証はプレビュー機能として利用できます。
- 機能および関連するドキュメントは、プレビュー期間中にいつでも変更される可能性があります。 OAuth2.0 認証を使用するには、 Cloud Manager Public APIへのリクエストで使用する サービス アカウント を作成します。
バージョン 4.2の新機能
高度な監査またはコンプライアンスのニーズを満たすには、次のアクションの 1 つまたは両方を実行する必要があります。
ディスクにパスワードが書き込まれるのを避けるために、
mongod
またはmongos
(まとめて MongoDB プロセス)構成をメモリに保存します。MongoDB Agent 構成ファイルから MongoDB Agent のパスワードを削除し、 shell コマンドで渡されたパスワードを読み取ります。
MongoDB プロセス構成ファイルをメモリに保存
MongoDB の構成ファイルには、次のような認証情報が含まれる場合があります。
デフォルトでは、MongoDB Agent は MongoDB プロセス構成ファイルをディスクに書込みます。 enableLocalConfigurationServer
ただし、true
MongoDB Agent 構成ファイル で を に設定することで、構成ファイルをメモリに保存できます。この設定を変更すると、次のアクションが行われます。
MongoDB Agent は MongoDB プロセス構成をメモリにキャッシュします。
ディスク上の MongoDB 構成ファイルには、完全な構成ファイルを指す
directive
のみが含まれています。
MongoDB Agent がメモリ内 MongoDB 構成を使用する場合、MongoDB プロセスはローカル MongoDB Agent から完全な構成ファイルをリクエストします。 エージェントは、 展開ディレクティブで __rest
URL を使用して構成ファイルをリクエストします。
警告
MongoDB Ops Managerバージョン 4.2 またはバージョン 4.4.0 - 4.4.6 を使用する場合、 enableLocalConfigurationServer
をtrue
に設定するとエラーが発生する可能性があります。 これを回避するには、「既存のクラスターのメモリに構成ファイルを保存する 」を参照してください。
Considerations
MongoDB 配置の可用性に影響する
この機能を有効にすると、MongoDB Agent は MongoDB プロセス構成をディスクに保存しません。 Cloud Manager アプリ サーバーが使用できなくなり、MongoDB Agent が再起動しようとすると、必要な構成情報がないため MongoDB Agent は実行を停止します。 MongoDB Agent が実行されていないときに MongoDB プロセスがクラッシュした場合、MongoDB Agent はプロセスを再開できません。
既存の MongoDB 配置のインポートを制限します
構成ファイルをメモリに保存する MongoDB プロセスはインポートできません。 MongoDB Agent がメモリに構成を保存している場合、MongoDB は起動後にすべての認証情報を編集します。 そのため、MongoDB は、プロセスをインポートするために必要な認証情報を取得できません。
秘密キーの形式
.pem
証明書ファイルの暗号化された秘密キーが PKCS #8 にある場合 形式の場合は、 PBES2 を使用する必要があります。 暗号化操作。MongoDB Agent は、他の暗号化操作を使用した PKCS # 8をサポートしていません。
MongoDB Agent 構成ファイルからパスワードを削除する
MongoDB Agent を設定ファイルからではなく、shell コマンド フラグとして読み取るように設定できます。 この機能を使用するには、MongoDB Agent の構成ファイルに次の設定を追加します。