Amazon DocumentDB で TLS(転送中の暗号化)を有効化するにはどうしたらいいですか
困っていた内容
Amazon DocumentDB で TLS(転送中の暗号化)を有効化したいです。
具体的な手順を教えてください。
どう対応すればいいの?
DocumentDB の TLS 設定はクラスターパラメータグループの tls パラメータで管理されます。
tls は静的パラメータのため、パラメータを変更した後に各インスタンスを再起動しなければ変更が反映されません。
なお、デフォルトのクラスターパラメータグループ(例: default.docdb4.0)は変更できません。
クラスターがデフォルトパラメータグループを使用している場合は、先にカスタムのクラスターパラメータグループを作成してクラスターに関連付けてから操作を進めてください。
tls パラメータを変更する
Amazon DocumentDB コンソールのナビゲーションペインから [パラメータグループ] を選択し、使用しているクラスターパラメータグループを開きます。
クラスターパラメータの一覧から tls パラメータを選択して [編集] をクリックし、必要な値に変更してから [クラスターパラメータを変更します] をクリックします。
- disabled: TLS を無効にします
- 有効 (enabled) — TLS バージョン 1.0〜1.3 を有効にしますが、TLS 1.2 以降をお勧めします。
- fips-140-3: FIPS で TLS を有効にします。クラスターは、連邦情報処理標準 (FIPS) 出版物 140-3 の要件に従った安全な接続のみを受け付けます。これは、これらのリージョン (ca-central-1、us-west-2、us-east-1、us-east-2、us-gov-east-1、us-gov-west-1) で、Amazon DocumentDB 5.0 (エンジンバージョン 3.0.3727) 以降のクラスターでのみサポートされます。
- tls1.2+: TLS バージョン 1.2 以降を有効にします。これは、Amazon DocumentDB 4.0 (エンジンバージョン 2.0.10980) および Amazon DocumentDB (エンジンバージョン 3.0.11051) 以降でのみサポートされています。
- tls1.3+: TLS バージョン 1.3 以降を有効にします。これは、Amazon DocumentDB 4.0 (エンジンバージョン 2.0.10980) および Amazon DocumentDB (エンジンバージョン 3.0.11051) 以降でのみサポートされています。
TLS 1.2 以降のみに接続を制限したい場合は、enabled の代わりに tls1.2+ を選択することもできます。
インスタンスを再起動する
tls パラメータの変更後、クラスター内の各インスタンスを再起動して変更を有効にします。
再起動はインスタンス単位で行います。クラスター全体を対象とした再起動操作ではない点に注意してください。
Amazon DocumentDB コンソールのナビゲーションペインから [クラスター] を選択し、再起動するインスタンスにチェックを入れてから [アクション] → [再起動] を選択します。
インスタンスが再起動するまでには数分かかります。インスタンスを使用できるのは、そのステータスが [available] である場合のみです。
クラスターに複数のインスタンスがある場合、レプリカインスタンスを先に再起動し、ステータスが Available に戻ったことを確認してからプライマリインスタンスを再起動することで、両インスタンスが同時に Rebooting 状態になることを避けられます。
再起動が完了するとステータスが Available に戻ります。
Available になっていることを確認し、アプリケーションからの接続が正常に行えることも合わせてご確認ください。
参考情報
