Atlas cifra todas las instantáneas con el método de cifrado de almacenamiento estándar de su proveedor de nube, lo que garantiza la seguridad de los datos del clúster en reposo. Su proveedor de nube administra las claves de cifrado.
Si utilizas Cifrado en reposo mediante la gestión de claves del cliente para sus proyectos y clústeres: Atlas aplica una capa adicional de cifrado a sus instantáneas mediante el proveedor del servicio de gestión de claves (KMS).
Ver clave utilizada para cifrar una instantánea
Para proyectos y clústeres que utilizan cifrado en reposo mediante la administración de claves del cliente, Atlas utiliza el proveedor del servicio de administración de claves (KMS).
Para los clústeres que utilizan AWS IAM como su servicio de administración de claves, Atlas utiliza la clave maestra del cliente (CMK) del proyecto y AWS Las credenciales de usuario o rol deIAM en el momento de la instantánea cifran automáticamente los archivos de datos de la instantánea. Esta es una capa adicional de cifrado que se aplica a todos los volúmenes de almacenamiento e instantáneas de Atlas. Los datos de registro de operaciones recopilados para las restauraciones PIT también se cifran con la CMK del cliente.
Atlas almacena el ID único de la CMK y las credenciales o roles de usuario de AWS IAM utilizados para acceder a ella. Atlas utiliza esta información al restaurar la instantánea. Puede acceder a una instantánea cifraday restaurarla mediante el cifrado en reposo.
Para los clústeres que utilizan Azure Key Vault como servicio de administración de claves, Atlas utiliza el identificador de clave del proyecto, las credenciales de Key Vault y las credenciales de la cuenta de la aplicación de Active Directory en el momento de la instantánea para cifrar automáticamente los archivos de datos de la instantánea. Esta es una capa adicional de cifrado que se aplica a todos los volúmenes de almacenamiento e instantáneas de Atlas. Los datos de registrode operaciones recopilados para las restauraciones PIT también se cifran con la CMK del cliente.
Atlas almacena el identificador único del identificador de clave de Azure utilizado para cifrar la instantánea. Atlas también almacena las credenciales de Azure Key Vault y las credenciales de la cuenta de la aplicación de Active Domain utilizadas para acceder al identificador de clave. Atlas utiliza esta información al restaurar la instantánea. Puede acceder a una instantánea cifraday restaurarla mediante el cifrado en reposo.
Atlas usa la clave de su cuenta de Google Cloud Service para cifrar y descifrar sus claves maestras de MongoDB. Estas claves se utilizan para cifrar los archivos de bases de datos del clúster y las instantáneas de los proveedores de nube. Los datos deoplog recopilados para las restauraciones PIT también se cifran con la CMK del cliente. Puede acceder a una instantánea cifraday restaurarla mediante el cifrado en reposo.
Procedimiento
Para ver la clave utilizada para cifrar una instantánea:
En Atlas, vaya a la Backup Detalles para su proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Backup en la sección Database.
Los detalles de la copia de seguridad se muestran.
Haga clic en el enlace del clúster.
Tenga en cuenta Encryption Key ID el.
Tenga en cuenta el para cada instantánea del clúster. Atlas muestra el identificador de clave utilizado para cifrar la instantánea. Las instantáneas Encryption Key ID Not enabled sin cifrar muestran, lo que significa que no habilitó el cifrado en reposo mediante la administración de claves del cliente. Sin embargo, Atlas cifra todas las instantáneas y los datos en reposo de forma predeterminada con la clave predeterminada del proveedor de nube.
Importante
Atlas requiere acceso a la clave de cifrado asociada a la instantánea Encryption Key ID para restaurarla correctamente.
Antes de eliminar un ID de clave de cifrado usado con el cifrado en reposo de Atlas mediante la administración de claves, revise cada clúster del proyecto con copia de seguridad habilitada para ver si hay instantáneas que aún usen ese ID de clave de cifrado. Una vez eliminada una clave de cifrado, todas las instantáneas cifradas con ella se vuelven inaccesibles e irrecuperables.
Atlas elimina automáticamente las copias de seguridad según la programación, la retención y las instantáneas bajo demanda. Una vez que Atlas elimine todas las instantáneas según un ID de clave de cifrado, podrá eliminar la clave de forma segura.
Si deshabilita una ID de clave de cifrado, debe volver a habilitar la clave antes de restaurar una instantánea cifrada con esa clave.
Para obtener la documentación completa sobre cómo configurar el cifrado en reposo con la administración de claves para un proyecto Atlas, consulte Cifrado en reposo con KMS. A continuación, puede implementar un nuevo clúster o habilitar uno existente con cifrado en reposo mediante la administración de claves.