翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 転送中のデータの暗号化
TLS (Transport Layer Security) を使用して、アプリケーションと Amazon DocumentDB クラスター間の接続を暗号化できます。デフォルトでは、転送時の暗号化は、新しく作成された Amazon DocumentDB クラスターに対して有効になっています。クラスターの作成時、または後で無効にすることもできます。転送中の暗号化が有効になっている場合、クラスターに接続するには TLS を使用したセキュアな接続が必要です。TLS を使用した Amazon DocumentDB への接続の詳細については、「[プログラムによる Amazon DocumentDB への接続](connect_programmatically.md)」を参照してください。
## Amazon DocumentDB クラスター TLS 設定の管理
Amazon DocumentDB クラスターの転送中の暗号化は、[クラスターパラメータグループ](https://docs.aws.amazon.com/documentdb/latest/developerguide/cluster_parameter_groups.html) の TLS パラメータを使用して管理されます。AWS マネジメントコンソール または AWS Command Line Interface(AWS CLI) を使用して、Amazon DocumentDB クラスターの TLS 設定を管理できます。現在の TLS 設定を確認して変更する方法の説明については、次のセクションを参照してください。
------
#### [ Using the AWS マネジメントコンソール ]
コンソールを使用して TLS 向けにパフォーマンス管理タスクは、パラメータグループの識別、TLS 値の検証や必要な変更の追加などには、次の手順を使用します。
**注記**
クラスターの作成時に別の指定がない限り、クラスターはデフォルトのクラスターパラメータグループを使用して作成されます。`default` クラスターパラメータグループのパラメータは変更できません (`tls` の有効化/無効化など)。そのため、クラスターが `default` クラスターパラメータグループを使用している場合は、デフォルト以外のクラスターパラメータグループを使用するようにクラスターを変更する必要があります。まず、カスタムクラスターパラメータグループを作成する必要があります。詳細については、「[Amazon DocumentDB クラスターパラメータグループを作成する](cluster_parameter_groups-create.md)」を参照してください。
1. **クラスターが使用しているクラスターパラメータグループを確認します。**
1. Amazon DocumentDB コンソールを次の場所で開きます。[https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb)
1. ナビゲーションペインで [**クラスター**] を選択します。
**ヒント**
画面の左側にナビゲーションペインが表示されない場合は、ページの左上隅にあるメニューアイコン (![\[Hamburger menu icon with three horizontal lines.\]](http://docs.aws.amazon.com/ja_jp/documentdb/latest/developerguide/images/docdb-menu-icon.png)) を選択します。
1. **[クラスター]** ナビゲーションボックスの **[クラスター識別子]** 列には、クラスターとインスタンスの両方が表示されますのでご注意ください。インスタンスはクラスターの下にリストされます。参考のために下のスクリーンショットを参照してください。
![\[既存のクラスターリンクとそれに対応するインスタンスリンクのリストを示したクラスターナビゲーションボックスの画像。\]](http://docs.aws.amazon.com/ja_jp/documentdb/latest/developerguide/images/clusters.png)
1. 関心があるクラスターを選択します。
1. **[設定]** タブを選択して、**[クラスターの詳細]** の一番下までスクロールし、**[クラスターパラメータグループ]** を見つけます。クラスターパラメータグループの名前を書き留めます。
クラスターのパラメータグループの名前が `default` (例えば、`default.docdb3.6` など) の場合、続行する前にカスタムのクラスターパラメータグループを作成して、それをクラスターのパラメータグループにする必要があります。詳細については次を参照してください:
1. [Amazon DocumentDB クラスターパラメータグループを作成する](cluster_parameter_groups-create.md) − 使用できるカスタムのクラスターパラメータグループがない場合、これを作成します。
1. [Amazon DocumentDB クラスターの変更](db-cluster-modify.md) - カスタムクラスターパラメータグループを使用するようにクラスターを変更します。
1. **`tls` クラスターパラメータの現在の値を確認します。**
1. Amazon DocumentDB コンソールを次の場所で開きます。[https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb)
1. ナビゲーションペインで、**[パラメータグループ]** を選択します。
1. クラスターパラメータグループの一覧から、使用するクラスターパラメータグループの名前を選択します。
1. [**クラスターパラメータ**] セクションを見つけます。クラスターパラメータの一覧で、`tls` クラスターパラメータ行を見つけます。この時点では、次の 4 つの列が重要です。
+ **クラスターパラメータ名** - クラスターパラメータの名前 TLS を管理するには、`tls` クラスターパラメータを選びます。
+ **値** - 各クラスターパラメータの現在の値
+ **使用できる値** - クラスターパラメータに適用できる値の一覧。
+ **適用タイプ** - [**静的**] または [**動的**] のいずれか。静的クラスターパラメータへの変更は、インスタンスが再起動されるときにのみ適用されます。動的パラメータへの変更は、すぐに適用されるか、またはインスタンスが再起動されるときに適用されます。
1. **`tls` クラスターパラメータの値を設定します。**
`tls` の値が必要な値ではない場合、このクラスターパラメータグループの値を変更します。`tls` クラスターパラメータの値を変更するには、前のセクションに続いて次の手順を行います。
1. クラスターパラメータ名 (`tls`) の左側のボタンを選択します。
1. **[編集]** を選択します。
1. `tls` の値を変更するには、[**`tls` の変更**] ダイアログボックスで、ドロップダウンリストからクラスターパラメータに必要な値を選択します。
次の値を指定できます。
+ **disabled**: TLS を無効にします
+ **enabled**: TLS バージョン 1.0 から 1.3 を有効にします。
+ **fips-140-3**: FIPS で TLS を有効にします。クラスターは、連邦情報処理標準 (FIPS) 出版物 140-3 の要件に従った安全な接続のみを受け付けます。これは、これらのリージョン (ca-central-1、us-west-2、us-east-1、us-east-2、us-gov-east-1、us-gov-west-1) で、Amazon DocumentDB 5.0 (エンジンバージョン 3.0.3727) 以降のクラスターでのみサポートされます。
+ **tls1.2\$1**: TLS バージョン 1.2 以降を有効にします。これは、Amazon DocumentDB 4.0 (エンジンバージョン 2.0.10980) および Amazon DocumentDB (エンジンバージョン 3.0.11051) 以降でのみサポートされています。
+ **tls1.3\$1**: TLS バージョン 1.3 以降を有効にします。これは、Amazon DocumentDB 4.0 (エンジンバージョン 2.0.10980) および Amazon DocumentDB (エンジンバージョン 3.0.11051) 以降でのみサポートされています。
![\[クラスター固有の TLS 変更ダイアログボックスの画像。\]](http://docs.aws.amazon.com/ja_jp/documentdb/latest/developerguide/images/modify-tls.png)
1. [**Modify cluster parameter (クラスターパラメータの変更)**] を選択します。各クラスターインスタンスが再起動されると、変更が適用されます。
1. **Amazon DocumentDB インスタンスを再起動します。**
変更がクラスター内のすべてのインスタンスに適用されるように、クラスターの各インスタンスを再起動します。
1. Amazon DocumentDB コンソールを次の場所で開きます。[https://console.aws.amazon.com/docdb](https://console.aws.amazon.com/docdb)
1. ナビゲーションペインで、[**インスタンス**] を選択してください。
1. 再起動するインスタンスを指定するには、インスタンスのリストでインスタンスを見つけ、その名前の左側にあるボタンを選択します。
1. [**アクション**]、[**再起動**] の順に選択します。[**再起動**] を選択して、リブートすることを確認します。
------
#### [ Using the AWS CLI ]
AWS CLI を使用して TLS 向けにパフォーマンス管理タスクは、パラメータグループの識別、TLS 値の検証や必要な変更の追加などには、次の手順を使用します。
**注記**
クラスターの作成時に別の指定がない限り、クラスターはデフォルトのクラスターパラメータグループを使用して作成されます。`default` クラスターパラメータグループのパラメータは変更できません (`tls` の有効化/無効化など)。そのため、クラスターが `default` クラスターパラメータグループを使用している場合は、デフォルト以外のクラスターパラメータグループを使用するようにクラスターを変更する必要があります。まず、カスタムクラスターパラメータグループを作成する必要があります。詳細については、「[Amazon DocumentDB クラスターパラメータグループを作成する](cluster_parameter_groups-create.md)」を参照してください。
1. **クラスターが使用しているクラスターパラメータグループを確認します。**
次のオプションで [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-clusters.html) コマンドを実行します。
+ `--db-cluster-identifier`
+ `--query`
次の例では、各 *ユーザー入力プレースホルダー* をクラスターの情報に置き換えます。
```
aws docdb describe-db-clusters \
--db-cluster-identifier mydocdbcluster \
--query 'DBClusters[*].[DBClusterIdentifier,DBClusterParameterGroup]'
```
このオペレーションによる出力は、次のようになります (JSON 形式)。
```
[
[
"mydocdbcluster",
"myparametergroup"
]
]
```
クラスターのパラメータグループの名前が `default` (例えば、`default.docdb3.6` など) の場合、続行する前にカスタムのクラスターパラメータグループを用意して、それをクラスターのパラメータグループにする必要があります。詳細については、以下の各トピックを参照してください。
1. [Amazon DocumentDB クラスターパラメータグループを作成する](cluster_parameter_groups-create.md) − 使用できるカスタムのクラスターパラメータグループがない場合、これを作成します。
1. [Amazon DocumentDB クラスターの変更](db-cluster-modify.md) - カスタムクラスターパラメータグループを使用するようにクラスターを変更します。
1. **`tls` クラスターパラメータの現在の値を確認します。**
このクラスターパラメータグループに関する詳細情報を取得するには、次のオプションで [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-cluster-parameters.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/describe-db-cluster-parameters.html) コマンドを実行します。
+ `--db-cluster-parameter-group-name`
+ `--query`
出力を目的のフィールドのみに制限します: `ParameterName`、`ParameterValue`、`AllowedValues`、および `ApplyType`。
次の例では、各 *ユーザー入力プレースホルダー* をクラスターの情報に置き換えます。
```
aws docdb describe-db-cluster-parameters \
--db-cluster-parameter-group-name myparametergroup \
--query 'Parameters[*].[ParameterName,ParameterValue,AllowedValues,ApplyType]'
```
このオペレーションによる出力は、次のようになります (JSON 形式)。
```
[
[
"audit_logs",
"disabled",
"enabled,disabled",
"dynamic"
],
[
"tls",
"disabled",
"disabled,enabled,fips-140-3,tls1.2+,tls1.3+",
"static"
],
[
"ttl_monitor",
"enabled",
"disabled,enabled",
"dynamic"
]
]
```
1. **`tls` クラスターパラメータの値を設定します。**
`tls` の値が必要な値ではない場合、このクラスターパラメータグループの値を変更します。`tls` クラスターパラメータの値を変更するには、次のオプションで [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/modify-db-cluster-parameter-group.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/modify-db-cluster-parameter-group.html) コマンドを実行します。
+ `--db-cluster-parameter-group-name` — 必須。変更するクラスターパラメータグループの名前。これを `default.*` クラスターパラメータグループにすることはできません。
+ `--parameters` — 必須。変更するクラスターパラメータグループのパラメータ一覧。
+ `ParameterName` — 必須。変更するクラスターパラメータの名前。
+ `ParameterValue` — 必須。このクラスターパラメータの新しい値。クラスターパラメータの `AllowedValues` のいずれかにする必要があります。
+ `enabled` — クラスターは TLS バージョン 1.0 から 1.3 を使用した安全な接続を受け入れます。
+ `disabled` - クラスターは TLS を使用したセキュアな接続を受け入れません。
+ `fips-140-3` - クラスターは、連邦情報処理標準 (FIPS) 出版物 140-3 の要件に従った安全な接続のみを受け付けます。これは、これらのリージョン (ca-central-1、us-west-2、us-east-1、us-east-2、us-gov-east-1、us-gov-west-1) で、Amazon DocumentDB 5.0 (エンジンバージョン 3.0.3727) 以降のクラスターでのみサポートされます。
+ `tls1.2+` — クラスターは TLS バージョン 1.2 以降を使用した安全な接続を受け入れます。これは、Amazon DocumentDB 4.0 (エンジンバージョン 2.0.10980) および Amazon DocumentDB 5.0 (エンジンバージョン 3.0.11051) 以降でのみサポートされています。
+ `tls1.3+` — クラスターは TLS バージョン 1.3 以降を使用した安全な接続を受け入れます。これは、Amazon DocumentDB 4.0 (エンジンバージョン 2.0.10980) および Amazon DocumentDB 5.0 (エンジンバージョン 3.0.11051) 以降でのみサポートされています。
+ `ApplyMethod` - この変更が適用される場合。`tle` のような静的クラスターパラメータでは、この値を `pending-reboot` にする必要があります。
+ `pending-reboot` - インスタンスの再起動後のみ、変更がインスタンスに適用されます。クラスターのすべてのインスタンスでこの変更を適用するには、各クラスターインスタンスを個別に再起動する必要があります。
次の例では*ユーザー入力プレースホルダー*をユーザー自身の情報で置き換えます。
次のコードにより `tls` を *無効化* し 、各インスタンスの再起動時に変更が適用されるようにします。
```
aws docdb modify-db-cluster-parameter-group \
--db-cluster-parameter-group-name myparametergroup \
--parameters "ParameterName=tls,ParameterValue=disabled,ApplyMethod=pending-reboot"
```
次のコードにより `tls` (バージョン 1.0 から 1.3) を *有効化* し 、各インスタンスの再起動時に変更が適用されるようにします。
```
aws docdb modify-db-cluster-parameter-group \
--db-cluster-parameter-group-name myparametergroup \
--parameters "ParameterName=tls,ParameterValue=enabled,ApplyMethod=pending-reboot"
```
次のコードは、`fips-140-3` で TLS を *有効化* し、各インスタンスの再起動時に変更が適用されるようにします。
```
aws docdb modify-db-cluster-parameter-group \
‐‐db-cluster-parameter-group-name myparametergroup2 \
‐‐parameters "ParameterName=tls,ParameterValue=fips-140-3,ApplyMethod=pending-reboot"
```
このオペレーションによる出力は、次のようになります (JSON 形式)。
```
{
"DBClusterParameterGroupName": "myparametergroup"
}
```
1. **お客様の Amazon DocumentDB インスタンスを再起動**
変更がクラスター内のすべてのインスタンスに適用されるように、クラスターの各インスタンスを再起動します。Amazon DocumentDB インスタンスを再起動するには、次のオプションで [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/reboot-db-instance.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/docdb/reboot-db-instance.html) コマンドを実行します。
+ `--db-instance-identifier`
次のコードは、インスタンス `mydocdbinstance` を再起動します。
次の例では*ユーザー入力プレースホルダー*をユーザー自身の情報で置き換えます。
**Example**
Linux、macOS、Unix の場合:
```
aws docdb reboot-db-instance \
--db-instance-identifier mydocdbinstance
```
Windows の場合:
```
aws docdb reboot-db-instance ^
--db-instance-identifier mydocdbinstance
```
このオペレーションによる出力は、次のようになります (JSON 形式)。
```
{
"DBInstance": {
"AutoMinorVersionUpgrade": true,
"PubliclyAccessible": false,
"PreferredMaintenanceWindow": "fri:09:32-fri:10:02",
"PendingModifiedValues": {},
"DBInstanceStatus": "rebooting",
"DBSubnetGroup": {
"Subnets": [
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1a"
},
"SubnetIdentifier": "subnet-4e26d263"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1c"
},
"SubnetIdentifier": "subnet-afc329f4"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1e"
},
"SubnetIdentifier": "subnet-b3806e8f"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1d"
},
"SubnetIdentifier": "subnet-53ab3636"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1b"
},
"SubnetIdentifier": "subnet-991cb8d0"
},
{
"SubnetStatus": "Active",
"SubnetAvailabilityZone": {
"Name": "us-east-1f"
},
"SubnetIdentifier": "subnet-29ab1025"
}
],
"SubnetGroupStatus": "Complete",
"DBSubnetGroupDescription": "default",
"VpcId": "vpc-91280df6",
"DBSubnetGroupName": "default"
},
"PromotionTier": 2,
"DBInstanceClass": "db.r5.4xlarge",
"InstanceCreateTime": "2018-11-05T23:10:49.905Z",
"PreferredBackupWindow": "00:00-00:30",
"KmsKeyId": "arn:aws:kms:us-east-1:012345678901:key/0961325d-a50b-44d4-b6a0-a177d5ff730b",
"StorageEncrypted": true,
"VpcSecurityGroups": [
{
"Status": "active",
"VpcSecurityGroupId": "sg-77186e0d"
}
],
"EngineVersion": "3.6.0",
"DbiResourceId": "db-SAMPLERESOURCEID",
"DBInstanceIdentifier": "mydocdbinstance",
"Engine": "docdb",
"AvailabilityZone": "us-east-1a",
"DBInstanceArn": "arn:aws:rds:us-east-1:012345678901:db:sample-cluster-instance-00",
"BackupRetentionPeriod": 1,
"Endpoint": {
"Address": "mydocdbinstance.corcjozrlsfc.us-east-1.docdb.amazonaws.com",
"Port": 27017,
"HostedZoneId": "Z2R2ITUGPM61AM"
},
"DBClusterIdentifier": "mydocdbcluster"
}
}
```
インスタンスが再起動するまでには数分かかります。インスタンスを使用できるのは、そのステータスが [*available*] である場合のみです。コンソールまたは AWS CLI を使用して、インスタンスのステータスをモニタリングできます。詳細については、「[Amazon DocumentDB インスタンスのステータスのモニタリング](monitoring_docdb-instance_status.md)」を参照してください。
------