データの保護
項目一覧
- Overview
- サンプル アプリケーション
- トランスポート層セキュリティ (TLS)
- TLS の有効化
- 証明機関(CA)ファイルの指定
- OCSP チェックの無効化
- 証明書失効リスト(CRL)の指定
- クライアント証明書の提示
- 証明書鍵ファイルのパスワードの指定
- AllowInsecureTls
- 証明書検証の無効化
- ホスト名検証を無効化する
- SCRAM-SHA-256
- SCRAM-SHA-1
- MONGODB-X509
- MongoDB-AWS
MongoClientCredentials- 環境変数
- 共有認証情報ファイル
- Amazon Web Services設定ファイル
- AssumeRole リクエスト
- AssumeRoleWithWebIdentity
- ECS コンテナまたは EC 2インスタンス
- Kerberos
- Unix
- Windows
- PLAIN SASL
- MONGODB-OIDC
- Azure IMDS
- GCP IMDS
- その他の Azure 環境
- GCP GKE
Overview
MongoDB は、アプリケーションの認証に使用できる複数のメカニズムをサポートしています。 このページでは、これらのそれぞれのメカニズムを示すコード例が紹介されています。
Tip
このページの認証メカニズムの詳細については、「 認証メカニズム 」ページを参照してください。
このページの認証例を使用するには、コード例をサンプルアプリケーションまたは独自のアプリケーションにコピーします。 <hostname>などのコード例にあるすべてのプレースホルダーを、MongoDB 配置に関連する値に置き換えてください。
サンプル アプリケーション
次のサンプルアプリケーションを使用して、このページのコード例をテストできます。 サンプル アプリケーションを使用するには、次の手順を実行します。
PyMongo がインストールされていることを確認します。
次のコードをコピーし、新しい
.pyファイルに貼り付けます。このページからコード例をコピーし、 ファイル内の指定された行に貼り付けます。
1 from pymongo import MongoClient 2 3 try: 4 # start example code here 5 6 # end example code here 7 8 client.admin.command("ping") 9 print("Connected successfully") 10 11 # other application code 12 13 client.close() 14 15 except Exception as e: 16 raise Exception( 17 "The following error occurred: ", e)
トランスポート層セキュリティ (TLS)
TLS の有効化
client = pymongo.MongoClient("mongodb://<db_username>:<db_password>@<hostname:<port>", tls=True)
client = pymongo.MongoClient("mongodb://<db_username>:<db_password>@<hostname>:<port>?tls=true")
TLS を有効にする方法の詳細については、TLS 構成ガイドの「 TLSを有効にする 」を参照してください。
証明機関(CA)ファイルの指定
client = pymongo.MongoClient("mongodb://<db_username>:<db_password>@<hostname>:<port>", tls=True, tlsCAFile="/path/to/ca.pem")
uri = "mongodb://<db_username>:<db_password>@<hostname>:<port>/?tls=true&tlsCAFile=/path/to/ca.pem" client = pymongo.MongoClient(uri)
CA ファイルの指定の詳細については、TLS 構成ガイドの「 CA ファイルの指定」を参照してください。
OCSP チェックの無効化
client = pymongo.MongoClient("mongodb://<db_username>:<db_password>@<hostname>:<port>", tls=True, tlsDisableOCSPEndpointCheck=True)
uri = "mongodb://example.com/?tls=true&tlsDisableOCSPEndpointCheck=true" client = pymongo.MongoClient(uri)
OCSP チェックを無効にする方法の詳細については、TLS 構成ガイドの「 OCSP 」を参照してください。
証明書失効リスト(CRL)の指定
client = pymongo.MongoClient("mongodb://<db_username>:<db_password>@<hostname>:<port>", tls=True, tlsCRLFile="/path/to/crl.pem")
uri = "mongodb://example.com/?tls=true&tlsCRLFile=/path/to/crl.pem" client = pymongo.MongoClient(uri)
CRL の指定の詳細については、TLS 構成ガイドの「証明書失効リスト」を参照してください。
クライアント証明書の提示
client = pymongo.MongoClient("mongodb://<db_username>:<db_password>@<hostname>:<port>", tls=True, tlsCertificateKeyFile='/path/to/client.pem')
uri = ("mongodb://<db_username>:<db_password>@<hostname:<port>/?" "tls=true" "&tlsCertificateKeyFile=path/to/client.pem") client = pymongo.MongoClient(uri)
クライアント証明書の指定の詳細については、TLS 構成ガイドの「クライアント証明書の提示」を参照してください。
証明書鍵ファイルのパスワードの指定
client = pymongo.MongoClient("mongodb://<db_username>:<db_password>@<hostname:<port>", tls=True, tlsCertificateKeyFile='/path/to/client.pem', tlsCertificateKeyFilePassword=<passphrase>)
uri = ("mongodb://<db_username>:<db_password>@<hostname:<port>/?" "tls=true" "&tlsCertificateKeyFile=path/to/client.pem" "&tlsCertificateKeyFilePassword=<passphrase>") client = pymongo.MongoClient(uri)
キー ファイルのパスワードの指定の詳細については、TLS 構成ガイドの「キー パスワードの指定」を参照してください。
AllowInsecureTls
client = pymongo.MongoClient("mongodb://<db_username>:<db_password>@<hostname:<port>", tls=True, tlsInsecure=True)
uri = ("mongodb://<db_username>:<db_password>@<hostname>:<port>/?" "tls=true" "&tlsInsecure=true") client = pymongo.MongoClient(uri)
安全でない TLS の許可の詳細については、TLS 構成ガイドの「 安全でない TLS を許可する 」を参照してください。
証明書検証の無効化
client = pymongo.MongoClient("mongodb://<db_username>:<db_password>@<hostname>:<port>", tls=True, tlsAllowInvalidCertificates=True)
uri = ("mongodb://<db_username>:<db_password>@<hostname>:<port>/?" "tls=true" "&tlsAllowInvalidCertificates=true") client = pymongo.MongoClient(uri)
証明書検証を無効にする方法の詳細については、TLS 構成ガイドの「 安全でない TLS の許可」を参照してください。
ホスト名検証を無効化する
client = pymongo.MongoClient("mongodb://<db_username>:<db_password>@<hostname>:<port>", tls=True, tlsAllowInvalidHostnames=True)
uri = ("mongodb://<db_username>:<db_password>@<hostname>:<port>/?" "tls=true" "&tlsAllowInvalidHostnames=true") client = pymongo.MongoClient(uri)
ホスト名検証を無効にする方法の詳細については、TLS 構成ガイドの「 安全でない TLS を許可する 」を参照してください。
SCRAM-SHA-256
client = pymongo.MongoClient("mongodb://<hostname>:<port>", username="<db_username>", password="<db_password>", authSource="<authentication database>", authMechanism="SCRAM-SHA-256")
uri = ("mongodb://<percent-encoded username>:<percent-encoded password>" "@<hostname>:<port>/?" "authSource=<authentication database>" "&authMechanism=SCRAM-SHA-256") client = pymongo.MongoClient(uri)
SCRAM-SHA-256 認証 の詳細については、 認証ガイドの SCRAM を参照してください。
SCRAM-SHA-1
client = pymongo.MongoClient("mongodb://<hostname>:<port>", username="<db_username>", password="<db_password>", authSource="<authentication database>", authMechanism="SCRAM-SHA-1")
uri = ("mongodb://<percent-encoded username>:<percent-encoded password>" "@<hostname>:<port>/?" "authSource=<authentication database>" "&authMechanism=SCRAM-SHA-1") client = pymongo.MongoClient(uri)
SCRAM-SHA-1 認証 の詳細については、 認証ガイドの SCRAM を参照してください。
MONGODB-X509
client = pymongo.MongoClient("mongodb://<hostname>:<port>", tls=True, tlsCertificateKeyFile="/path/to/client.pem", authMechanism="MONGODB-X509")
uri = ("mongodb://<hostname>:<port>/?" "tls=true" "&tlsCertificateKeyFile=path/to/client.pem" "&authMechanism=MONGODB-X509") client = pymongo.MongoClient(uri)
MONGODB-X509 認証 の詳細については、 認証ガイドの X. を参照してください。509
MongoDB-AWS
MongoClient Credentials
client = pymongo.MongoClient("mongodb://<hostname>:<port>", username="<AWS IAM access key ID>", password="<AWS IAM secret access key>", authMechanism="MONGODB-AWS")
uri = ("mongodb://<percent-encoded AWS IAM access key ID>:" "<percent-encoded AWS IAM secret access key>" "@<hostname>:<port>/?" "&authMechanism=MONGODB-AWS") client = pymongo.MongoClient(uri)
Amazon Web Services MongoClient 認証情報による認証の詳細については、認証ガイドの「 MongoClient 認証情報 」を参照してください。
環境変数
client = pymongo.MongoClient("mongodb://<hostname>:<port>", authMechanism="MONGODB-AWS")
uri = "mongodb://<hostname>:<port>/?&authMechanism=MONGODB-AWS" client = pymongo.MongoClient(uri)
Amazon Web Services環境変数を使用した認証の詳細については、認証ガイドの「環境変数 」を参照してください。
共有認証情報ファイル
client = pymongo.MongoClient("mongodb://<hostname>:<port>", authMechanism="MONGODB-AWS")
uri = "mongodb://<hostname>:<port>/?&authMechanism=MONGODB-AWS" client = pymongo.MongoClient(uri)
共有Amazon Web Services認証情報ファイルによる認証の詳細については、 認証 ガイドの「共有認証情報ファイル 」を参照してください。
Amazon Web Services設定ファイル
client = pymongo.MongoClient("mongodb://<hostname>:<port>", authMechanism="MONGODB-AWS")
uri = "mongodb://<hostname>:<port>/?&authMechanism=MONGODB-AWS" client = pymongo.MongoClient(uri)
Amazon Web ServicesAmazon Web ServicesAmazon Web Services 設定ファイルを使用した認証の詳細については、認証ガイドの「 ファイル 」を参照してください。
AssumeRole リクエスト
client = pymongo.MongoClient("mongodb://@<hostname>:<port>", username="<AWS IAM access key ID>", password="<AWS IAM secret access key>", authMechanismProperties="AWS_SESSION_TOKEN:<AWS session token>", authMechanism="MONGODB-AWS")
uri = ("mongodb://<percent-encoded AWS IAM access key ID>:" "<percent-encoded AWS IAM secret access key>" "@<hostname>:<port>/?" "authMechanismProperties=AWS_SESSION_TOKEN:<AWS session token>" "&authMechanism=MONGODB-AWS") client = pymongo.MongoClient(uri)
AssumeRoleリクエストによる認証の詳細については、認証ガイドの「 AssumeRoleリクエスト」を参照してください。
AssumeRoleWithWebIdentity
client = pymongo.MongoClient("mongodb://<hostname>:<port>", authMechanism="MONGODB-AWS")
uri = "mongodb://<hostname>:<port>/?&authMechanism=MONGODB-AWS" client = pymongo.MongoClient(uri)
AssumeRoleWithWebIdentityリクエストによる認証の詳細については、認証ガイドのAssumeRoleWithWebIdentityを参照してください。
ECS コンテナまたは EC 2インスタンス
client = pymongo.MongoClient("mongodb://<hostname>:<port>", authMechanism="MONGODB-AWS")
uri = "mongodb://<hostname>:<port>/?&authMechanism=MONGODB-AWS" client = pymongo.MongoClient(uri)
ECS コンテナからの認証の詳細については、認証ガイドの「 ECS コンテナ 」または「 EC 2インスタンス」を参照してください。
Kerberos
注意
MongoDB Enterprise のみ
Kerberos 認証は MongoDB Enterprise でのみ利用できます。
Unix
client = pymongo.MongoClient("mongodb://<hostname>:<port>", username="mongodbuser@EXAMPLE.COM", authMechanism="GSSAPI", authMechanismProperties="SERVICE_NAME:<authentication service name>")
uri = ("mongodb://mongodbuser%40EXAMPLE.COM@<hostname>:<port>/?" "&authMechanism=GSSAPI" "&authMechanismProperties=SERVICE_NAME:<authentication service name>") client = pymongo.MongoClient(uri)
Kerberos による認証の詳細については、 エンタープライズ認証ガイドの「 Kerberos(GSSAPI) 」を参照してください。
Windows
client = pymongo.MongoClient("mongodb://<hostname>:<port>", username="<db_username>", authMechanism="GSSAPI", password="<db_password>", authMechanismProperties="SERVICE_NAME:<authentication service name>, CANONICALIZE_HOST_NAME:true, SERVICE_REALM:<service realm>")
uri = ("mongodb://<percent-encoded username>:<percent-encoded user password>" "@<hostname>:<port>/?" "&authMechanism=GSSAPI" "&authMechanismProperties=" "SERVICE_NAME:<authentication service name>," "CANONICALIZE_HOST_NAME:true," "SERVICE_REALM:<service realm>") client = pymongo.MongoClient(uri)
Kerberos による認証の詳細については、 エンタープライズ認証ガイドの「 Kerberos(GSSAPI) 」を参照してください。
PLAIN SASL
注意
MongoDB Enterprise のみ
PLAIN SASL 認証は MongoDB Enterprise でのみ利用できます。
client = pymongo.MongoClient("mongodb://<hostname>:<port>", username="<db_username>", password="<db_password>", authMechanism="PLAIN", tls=True)
uri = ("mongodb://<db_username>:<db_password>@<hostname>:<port>/?" "&authMechanism=PLAIN" "&tls=true") client = pymongo.MongoClient(uri)
PLAIN SASL による認証の詳細については、 エンタープライズ認証ガイドの「 LDAP(PLAIN SASL) 」を参照してください。
MONGODB-OIDC
注意
MongoDB Enterprise のみ
MONGODB-OIDC 認証は MongoDB Enterprise でのみ利用できます。
Azure IMDS
from pymongo import MongoClient # define properties and MongoClient properties = {"ENVIRONMENT": "azure", "TOKEN_RESOURCE": "<audience>"} client = MongoClient( "mongodb[+srv]://<hostname>:<port>", username="<Azure ID>", authMechanism="MONGODB-OIDC", authMechanismProperties=properties )
from pymongo import MongoClient # define URI and MongoClient uri = ("mongodb[+srv]://<hostname>:<port>/?" "username=<username>" "&authMechanism=MONGODB-OIDC" "&authMechanismProperties=ENVIRONMENT:azure,TOKEN_RESOURCE:<percent-encoded audience>") client = MongoClient(uri)
OIDC を使用した認証の詳細については、認証ガイドの「 Azure IMDS 」を参照してください。
GCP IMDS
from pymongo import MongoClient # define properties and MongoClient properties = {"ENVIRONMENT": "gcp", "TOKEN_RESOURCE": "<audience>"} client = MongoClient( "mongodb[+srv]://<hostname>:<port>", authMechanism="MONGODB-OIDC", authMechanismProperties=properties )
from pymongo import MongoClient # define URI and MongoClient uri = ("mongodb[+srv]://<hostname>:<port>/?" "&authMechanism=MONGODB-OIDC" "&authMechanismProperties=ENVIRONMENT:gcp,TOKEN_RESOURCE:<percent-encoded audience>") client = MongoClient(uri)
OIDC による認証の詳細については、認証ガイドの「 GCP IMDS 」を参照してください。
その他の Azure 環境
from pymongo import MongoClient from azure.identity import DefaultAzureCredential from pymongo.auth_oidc import OIDCCallback, OIDCCallbackContext, OIDCCallbackResult # define callback, properties, and MongoClient audience = "<audience>" client_id = "<Azure ID>" class MyCallback(OIDCCallback): def fetch(self, context: OIDCCallbackContext) -> OIDCCallbackResult: credential = DefaultAzureCredential(managed_identity_client_id=client_id) token = credential.get_token(f"{audience}/.default").token return OIDCCallbackResult(access_token=token) properties = {"OIDC_CALLBACK": MyCallback()} client = MongoClient( "mongodb[+srv]://<hostname>:<port>", authMechanism="MONGODB-OIDC", authMechanismProperties=properties )
OIDC による認証の詳細については、認証ガイドの「その他の Azure 環境」を参照してください。
GCP GKE
from pymongo import MongoClient from pymongo.auth_oidc import OIDCCallback, OIDCCallbackContext, OIDCCallbackResult # define callback, properties, and MongoClient class MyCallback(OIDCCallback): def fetch(self, context: OIDCCallbackContext) -> OIDCCallbackResult: with open("/var/run/secrets/kubernetes.io/serviceaccount/token") as fid: token = fid.read() return OIDCCallbackResult(access_token=token) properties = {"OIDC_CALLBACK": MyCallback()} client = MongoClient( "mongodb[+srv]://<hostname>:<port>", authMechanism="MONGODB-OIDC", authMechanismProperties=properties )
OIDC による認証の詳細については、認証ガイドの「 GCP GKE 」を参照してください。