Encrypting data in transit - Amazon DocumentDB
クラスターの TLS 設定の管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Encrypting data in transit

TLS (Transport Layer Security) を使用して、アプリケーションと Amazon DocumentDB クラスター間の接続を暗号化できます。デフォルトでは、転送時の暗号化は、新しく作成された Amazon DocumentDB クラスターに対して有効になっています。クラスターの作成時、または後で無効にすることもできます。転送中の暗号化が有効になっている場合、クラスターに接続するには TLS を使用したセキュアな接続が必要です。TLS を使用した Amazon DocumentDB への接続の詳細については、「プログラムによる Amazon DocumentDB への接続」を参照してください。

Amazon DocumentDB クラスター TLS 設定の管理

Amazon DocumentDB クラスターの転送中の暗号化は、クラスターパラメータグループ の TLS パラメータを使用して管理されます。Amazon DocumentDB クラスターの TLS 設定は、 AWS Management Console または AWS Command Line Interface () を使用して管理できますAWS CLI。現在の TLS 設定を確認して変更する方法の説明については、次のセクションを参照してください。

Using the AWS Management Console

コンソールを使用して TLS 向けにパフォーマンス管理タスクは、パラメータグループの識別、TLS 値の検証や必要な変更の追加などには、次の手順を使用します。

注記

クラスターの作成時に別の指定がない限り、クラスターはデフォルトのクラスターパラメータグループを使用して作成されます。default クラスターパラメータグループのパラメータは変更できません (tls の有効化/無効化など)。そのため、クラスターが default クラスターパラメータグループを使用している場合は、デフォルト以外のクラスターパラメータグループを使用するようにクラスターを変更する必要があります。まず、カスタムクラスターパラメータグループを作成する必要があります。詳細については、「Amazon DocumentDB クラスターパラメータグループを作成する」を参照してください。

  1. クラスターが使用しているクラスターパラメータグループを確認します。

    1. Amazon DocumentDB コンソールを次の場所で開きます。https://console.aws.amazon.com/docdb

    2. ナビゲーションペインで クラスター を選択します。

      ヒント

      画面の左側にナビゲーションペインが表示されない場合は、ページの左上隅にあるメニューアイコン (Hamburger menu icon with three horizontal lines.) を選択します。

    3. [クラスター] ナビゲーションボックスの [クラスター識別子] 列には、クラスターとインスタンスの両方が表示されますのでご注意ください。インスタンスはクラスターの下にリストされます。参考のために下のスクリーンショットを参照してください。

      既存のクラスターリンクとそれに対応するインスタンスリンクのリストを示したクラスターナビゲーションボックスの画像。

    4. 関心があるクラスターを選択します。

    5. [設定] タブを選択して、[クラスターの詳細] の一番下までスクロールし、[クラスターパラメータグループ] を見つけます。クラスターパラメータグループの名前を書き留めます。

      クラスターのパラメータグループの名前が default (たとえば、default.docdb3.6 など) の場合、続行する前にカスタムのクラスターパラメータグループを作成して、それをクラスターのパラメータグループにする必要があります。詳細については次を参照してください:

      1. Amazon DocumentDB クラスターパラメータグループを作成する − 使用できるカスタムのクラスターパラメータグループがない場合、これを作成します。

      2. Amazon DocumentDB クラスターの変更 - カスタムクラスターパラメータグループを使用するようにクラスターを変更します。

  2. tls クラスターパラメータの現在の値を確認します。

    1. Amazon DocumentDB コンソールを次の場所で開きます。https://console.aws.amazon.com/docdb

    2. ナビゲーションペインで、[パラメータグループ] を選択します。

    3. クラスターパラメータグループの一覧から、使用するクラスターパラメータグループの名前を選択します。

    4. [クラスターパラメータ] セクションを見つけます。クラスターパラメータの一覧で、tls クラスターパラメータ行を見つけます。この時点では、次の 4 つの列が重要です。

      • クラスターパラメータ名 - クラスターパラメータの名前 TLS を管理するには、tls クラスターパラメータを選びます。

      • - 各クラスターパラメータの現在の値

      • 使用できる値 - クラスターパラメータに適用できる値の一覧。

      • 適用タイプ - [静的] または [動的] のいずれか。静的クラスターパラメータへの変更は、インスタンスが再起動されるときにのみ適用されます。動的パラメータへの変更は、すぐに適用されるか、またはインスタンスが再起動されるときに適用されます。

  3. tls クラスターパラメータの値を設定します。

    tls の値が必要な値ではない場合、このクラスターパラメータグループの値を変更します。tls クラスターパラメータの値を変更するには、前のセクションに続いて次の手順を行います。

    1. クラスターパラメータ名 (tls) の左側のボタンを選択します。

    2. [編集] を選択します。

    3. tls の値を変更するには、[tls の変更] ダイアログボックスで、ドロップダウンリストからクラスターパラメータに必要な値を選択します。

      次の値を指定できます:

      • disabled: TLS を無効にします

      • 有効 — TLS バージョン 1.0 から 1.3 を有効にします。

      • fips-140-3: FIPS で TLS を有効にします。クラスターは、連邦情報処理標準 (FIPS) 出版物 140-3 の要件に従った安全な接続のみを受け付けます。これは、これらのリージョン (ca-central-1、us-west-2、us-east-1、us-east-2、us-gov-east-1、us-gov-west-1) で、Amazon DocumentDB 5.0 (エンジンバージョン 3.0.3727) 以降のクラスターでのみサポートされます。

      • tls1.2+ — TLS バージョン 1.2 以降を有効にします。これは、Amazon DocumentDB 4.0 (エンジンバージョン 2.0.10980) および Amazon DocumentDB (エンジンバージョン 3.0.11051) 以降でのみサポートされています。

      • tls1.3+ — TLS バージョン 1.3 以降を有効にします。これは、Amazon DocumentDB 4.0 (エンジンバージョン 2.0.10980) および Amazon DocumentDB (エンジンバージョン 3.0.11051) 以降でのみサポートされています。

      クラスター固有の TLS 変更ダイアログボックスの画像。

    4. [Modify cluster parameter (クラスターパラメータの変更)] を選択します。各クラスターインスタンスが再起動されると、変更が適用されます。

  4. Amazon DocumentDB インスタンスを再起動します。

    変更がクラスター内のすべてのインスタンスに適用されるように、クラスターの各インスタンスを再起動します。

    1. Amazon DocumentDB コンソールを次の場所で開きます。https://console.aws.amazon.com/docdb

    2. ナビゲーションペインで、[インスタンス] を選択してください。

    3. 再起動するインスタンスを指定するには、インスタンスのリストでインスタンスを見つけ、その名前の左側にあるボタンを選択します。

    4. [アクション]、[再起動] の順に選択します。[再起動] を選択して、リブートすることを確認します。

Using the AWS CLI

AWS CLIを使用して TLS 向けにパフォーマンス管理タスクは、パラメータグループの識別、TLS 値の検証や必要な変更の追加などには、次の手順を使用します。

注記

クラスターの作成時に別の指定がない限り、クラスターはデフォルトのクラスターパラメータグループを使用して作成されます。default クラスターパラメータグループのパラメータは変更できません (tls の有効化/無効化など)。そのため、クラスターが default クラスターパラメータグループを使用している場合は、デフォルト以外のクラスターパラメータグループを使用するようにクラスターを変更する必要があります。まず、カスタムクラスターパラメータグループを作成する必要があります。詳細については、「Amazon DocumentDB クラスターパラメータグループを作成する」を参照してください。

  1. クラスターが使用しているクラスターパラメータグループを確認します。

    次のオプションを指定して describe-db-clusters コマンドを実行します。

    • --db-cluster-identifier

    • --query

    次の例では、各ユーザー入力プレースホルダーをクラスターの情報に置き換えます。

    aws docdb describe-db-clusters \
  --db-cluster-identifier mydocdbcluster \
  --query 'DBClusters[*].[DBClusterIdentifier,DBClusterParameterGroup]'

    このオペレーションからの出力は次のようになります (JSON 形式)。

    [
    [
        "mydocdbcluster",
        "myparametergroup"
    ]
]

    クラスターのパラメータグループの名前が default (たとえば、default.docdb3.6 など) の場合、続行する前にカスタムのクラスターパラメータグループを用意して、それをクラスターのパラメータグループにする必要があります。詳細については、以下の各トピックを参照してください。

    1. Amazon DocumentDB クラスターパラメータグループを作成する − 使用できるカスタムのクラスターパラメータグループがない場合、これを作成します。

    2. Amazon DocumentDB クラスターの変更 - カスタムクラスターパラメータグループを使用するようにクラスターを変更します。

  2. tls クラスターパラメータの現在の値を確認します。

    このクラスターパラメータグループの詳細については、次のオプションを指定して describe-db-cluster-parameters コマンドを実行します。

    • --db-cluster-parameter-group-name

    • --query

      出力は、、ParameterNameParameterValueAllowedValuesのフィールドのみに制限されますApplyType

    次の例では、各ユーザー入力プレースホルダーをクラスターの情報に置き換えます。

    aws docdb describe-db-cluster-parameters \
  --db-cluster-parameter-group-name myparametergroup \
  --query 'Parameters[*].[ParameterName,ParameterValue,AllowedValues,ApplyType]'

    このオペレーションからの出力は次のようになります (JSON 形式)。

    [
    [
        "audit_logs",
        "disabled",
        "enabled,disabled",
        "dynamic"
    ],
    [
        "tls",
        "disabled",
        "disabled,enabled,fips-140-3,tls1.2+,tls1.3+",
        "static"
    ],
    [
        "ttl_monitor",
        "enabled",
        "disabled,enabled",
        "dynamic"
    ]
]

  3. tls クラスターパラメータの値を設定します。

    tls の値が必要な値ではない場合、このクラスターパラメータグループの値を変更します。tls クラスターパラメータの値を変更するには、次のオプションを指定して modify-db-cluster-parameter-group コマンドを実行します。

    • --db-cluster-parameter-group-name — 必須。変更するクラスターパラメータグループの名前。これを default.* クラスターパラメータグループにすることはできません。

    • --parameters — 必須。変更するクラスターパラメータグループのパラメータ一覧。

      • ParameterName — 必須。変更するクラスターパラメータの名前。

      • ParameterValue — 必須。このクラスターパラメータの新しい値。クラスターパラメータの AllowedValues のいずれかにする必要があります。

        • enabled — クラスターは TLS バージョン 1.0 から 1.3 を使用した安全な接続を受け入れます。

        • disabled - クラスターは TLS を使用したセキュアな接続を受け入れません。

        • fips-140-3 - クラスターは、連邦情報処理標準 (FIPS) 出版物 140-3 の要件に従った安全な接続のみを受け付けます。これは、これらのリージョン (ca-central-1、us-west-2、us-east-1、us-east-2、us-gov-east-1、us-gov-west-1) で、Amazon DocumentDB 5.0 (エンジンバージョン 3.0.3727) 以降のクラスターでのみサポートされます。

        • tls1.2+ — クラスターは TLS バージョン 1.2 以降を使用した安全な接続を受け入れます。これは、Amazon DocumentDB 4.0 (エンジンバージョン 2.0.10980) および Amazon DocumentDB 5.0 (エンジンバージョン 3.0.11051) 以降でのみサポートされています。

        • tls1.3+ — クラスターは TLS バージョン 1.3 以降を使用した安全な接続を受け入れます。これは、Amazon DocumentDB 4.0 (エンジンバージョン 2.0.10980) および Amazon DocumentDB 5.0 (エンジンバージョン 3.0.11051) 以降でのみサポートされています。

      • ApplyMethod - この変更が適用される場合。tle のような静的クラスターパラメータでは、この値を pending-reboot にする必要があります。

        • pending-reboot - インスタンスの再起動後のみ、変更がインスタンスに適用されます。クラスターのすべてのインスタンスでこの変更を適用するには、各クラスターインスタンスを個別に再起動する必要があります。

    次の例では、各ユーザー入力プレースホルダーをクラスターの情報に置き換えます。

    次のコードは を無効にtls、再起動時に各インスタンスに変更を適用します。

    aws docdb modify-db-cluster-parameter-group \
  --db-cluster-parameter-group-name myparametergroup \
  --parameters "ParameterName=tls,ParameterValue=disabled,ApplyMethod=pending-reboot"

    次のコードでは、再起動時に各インスタンスに変更を適用できます tls (バージョン 1.0~1.3)。

    aws docdb modify-db-cluster-parameter-group \
  --db-cluster-parameter-group-name myparametergroup \
  --parameters "ParameterName=tls,ParameterValue=enabled,ApplyMethod=pending-reboot"

    次のコードは、 で TLS を有効にfips-140-3、再起動時に各インスタンスに変更を適用します。

    aws docdb modify-db-cluster-parameter-group \
  ‐‐db-cluster-parameter-group-name myparametergroup2 \
  ‐‐parameters "ParameterName=tls,ParameterValue=fips-140-3,ApplyMethod=pending-reboot"

    このオペレーションからの出力は次のようになります (JSON 形式)。

    {
    "DBClusterParameterGroupName": "myparametergroup"
}

  4. お客様の Amazon DocumentDB インスタンスを再起動

    変更がクラスター内のすべてのインスタンスに適用されるように、クラスターの各インスタンスを再起動します。Amazon DocumentDB インスタンスを再起動するには、次のオプションを指定して reboot-db-instance コマンドを実行します。

    • --db-instance-identifier

    次のコードは、インスタンス mydocdbinstance を再起動します。

    次の例では、各ユーザー入力プレースホルダーをクラスターの情報に置き換えます。

    Linux、macOS、Unix の場合:

    aws docdb reboot-db-instance \
  --db-instance-identifier mydocdbinstance

    Windows の場合:

    aws docdb reboot-db-instance ^
  --db-instance-identifier mydocdbinstance

    このオペレーションからの出力は次のようになります (JSON 形式)。

    {
    "DBInstance": {
        "AutoMinorVersionUpgrade": true,
        "PubliclyAccessible": false,
        "PreferredMaintenanceWindow": "fri:09:32-fri:10:02",
        "PendingModifiedValues": {},
        "DBInstanceStatus": "rebooting",
        "DBSubnetGroup": {
            "Subnets": [
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1a"
                    },
                    "SubnetIdentifier": "subnet-4e26d263"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1c"
                    },
                    "SubnetIdentifier": "subnet-afc329f4"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1e"
                    },
                    "SubnetIdentifier": "subnet-b3806e8f"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1d"
                    },
                    "SubnetIdentifier": "subnet-53ab3636"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1b"
                    },
                    "SubnetIdentifier": "subnet-991cb8d0"
                },
                {
                    "SubnetStatus": "Active",
                    "SubnetAvailabilityZone": {
                        "Name": "us-east-1f"
                    },
                    "SubnetIdentifier": "subnet-29ab1025"
                }
            ],
            "SubnetGroupStatus": "Complete",
            "DBSubnetGroupDescription": "default",
            "VpcId": "vpc-91280df6",
            "DBSubnetGroupName": "default"
        },
        "PromotionTier": 2,
        "DBInstanceClass": "db.r5.4xlarge",
        "InstanceCreateTime": "2018-11-05T23:10:49.905Z",
        "PreferredBackupWindow": "00:00-00:30",
        "KmsKeyId": "arn:aws:kms:us-east-1:012345678901:key/0961325d-a50b-44d4-b6a0-a177d5ff730b",
        "StorageEncrypted": true,
        "VpcSecurityGroups": [
            {
                "Status": "active",
                "VpcSecurityGroupId": "sg-77186e0d"
            }
        ],
        "EngineVersion": "3.6.0",
        "DbiResourceId": "db-SAMPLERESOURCEID",
        "DBInstanceIdentifier": "mydocdbinstance",
        "Engine": "docdb",
        "AvailabilityZone": "us-east-1a",
        "DBInstanceArn": "arn:aws:rds:us-east-1:012345678901:db:sample-cluster-instance-00",
        "BackupRetentionPeriod": 1,
        "Endpoint": {
            "Address": "mydocdbinstance.corcjozrlsfc.us-east-1.docdb.amazonaws.com",
            "Port": 27017,
            "HostedZoneId": "Z2R2ITUGPM61AM"
        },
        "DBClusterIdentifier": "mydocdbcluster"
    }
}

    インスタンスが再起動するまでには数分かかります。インスタンスを使用できるのは、そのステータスが [available] である場合のみです。コンソールまたは AWS CLIを使用して、インスタンスのステータスをモニタリングできます。詳細については、「Amazon DocumentDB インスタンスのステータスのモニタリング」を参照してください。