翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon DocumentDB と によるパスワード管理 AWS Secrets Manager
<a name="docdb-secrets-manager"></a>

Amazon DocumentDB は Secrets Manager と統合して、クラスターのプライマリユーザーパスワードを管理します。

**Topics**
+ [Secrets Manager と Amazon DocumentDB の統合に関する制限事項](#asm-limitations)
+ [を使用したプライマリユーザーパスワードの管理の概要 AWS Secrets Manager](#asm-overview)
+ [でのプライマリユーザーパスワードの Amazon DocumentDB 管理の強制 AWS Secrets Manager](#asm-enforce)
+ [Secrets Manager によるクラスターのプライマリユーザーパスワードの管理](#asm-managing-pw)

## Secrets Manager と Amazon DocumentDB の統合に関する制限事項
<a name="asm-limitations"></a>

Secrets Manager を使用したプライマリユーザーパスワードの管理は、以下の機能ではサポートされていません。
+ Amazon DocumentDB グローバルデータベースの一部であるクラスター。
+ Amazon DocumentDB クロスリージョンリードレプリカ

## を使用したプライマリユーザーパスワードの管理の概要 AWS Secrets Manager
<a name="asm-overview"></a>

を使用すると AWS Secrets Manager、データベースパスワードを含むコード内のハードコードされた認証情報を Secrets Manager への API コールに置き換えて、プログラムでシークレットを取得できます。Secrets Manager の詳細については、[AWS Secrets Manager ユーザーガイド](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)を参照してください。

Secrets Manager にデータベースシークレットを保存すると、 AWS アカウントで料金が発生します。料金については、「[AWS Secrets Manager の料金](https://aws.amazon.com/secrets-manager/pricing/)」を参照してください。

次のいずれかのオペレーションを実行するときに、Amazon DocumentDB が Amazon DocumentDB クラスターの Secrets Manager でプライマリユーザーパスワードを管理するように指定できます。
+ クラスターを作成する
+ クラスターの変更

Amazon DocumentDB が Secrets Manager でプライマリユーザーパスワードを管理するように指定すると、Amazon DocumentDB はパスワードを生成して Secrets Manager に保存します。シークレットを直接操作して、プライマリユーザーの認証情報を取得できます。また、カスタマーマネージドキーを指定してシークレットを暗号化したり、Secrets Manager が提供する KMS キーを使用したりすることもできます。

Amazon DocumentDB はシークレットの設定を管理し、デフォルトでシークレットを 7 日ごとにローテーションします。ローテーションスケジュールなど、一部の設定を変更できます。Secrets Manager でシークレットを管理するクラスターを削除すると、シークレットとそれに関連するメタデータも削除されます。

シークレット内の認証情報を使用してクラスターに接続するには、Secrets Manager からシークレットを取得します。詳細については、「 *AWS Secrets Manager ユーザーガイド*[」の「 シークレットの認証情報を使用して JDBC を使用して から AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets.html)[シーク AWS Secrets Manager レットを取得し、SQL データベースに接続する](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets_jdbc.html)」を参照してください。

## でのプライマリユーザーパスワードの Amazon DocumentDB 管理の強制 AWS Secrets Manager
<a name="asm-enforce"></a>

IAM 条件キーを使用して、 AWS Secrets Managerのプライマリユーザーパスワードの Amazon DocumentDB 管理を実施できます。次のポリシーでは、プライマリユーザーパスワードが Secrets Manager で Amazon DocumentDB によって管理されていない限り、ユーザーがインスタンスまたはクラスターを作成または復元することはできません。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "rds:CreateDBCluster"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "rds:ManageMasterUserPassword": false
                }
            }
        }
    ]
}
```

------

## Secrets Manager によるクラスターのプライマリユーザーパスワードの管理
<a name="asm-managing-pw"></a>

以下のアクションを実行すると、Secrets Manager でプライマリユーザーパスワードの Amazon DocumentDB 管理を設定できます。
+ [Amazon DocumentDB クラスターの作成](db-cluster-create.md)
+ [Amazon DocumentDB クラスターの変更](db-cluster-modify.md)

Amazon DocumentDB コンソールまたは を使用して AWS CLI 、これらのアクションを実行できます。