Puedes configurar tu proyecto Atlas para utilizar un AWS rol IAM para acceder a tus claves de AWS KMS para cifrado en reposo. Puedes usar un rol existente o crear uno nuevo cuando habilites el Cifrado en reposo para tu proyecto.
Nota
El Modelo de Responsabilidad Compartida de MongoDB Atlas define los deberes complementarios de MongoDB y sus clientes en el mantenimiento de un entorno de datos seguro y resiliente. Bajo este marco, MongoDB gestiona la seguridad y la integridad operativa de la plataforma subyacente, mientras que los clientes son responsables de la configuración, gestión y políticas de datos de sus implementaciones específicas. Para obtener un desglose detallado de la propiedad en materia de seguridad y excelencia operativa, consulta el Modelo de Responsabilidad Compartida.
Esta página trata sobre cómo configurar la gestión de claves de clientes en el proyecto Atlas para acceso basado en roles. También se puede configurar AWS PrivateLink en el AWS KMS para garantizar que todo el tráfico entre Atlas y el AWS KMS se realice a través de las interfaces de red privada de AWS.
Si aún no ha activado el cifrado en reposo para el proyecto de Atlas nuevo o existente, se debe seguir el procedimiento Activar el acceso basado en roles para la llave de cifrado para un proyecto para activar el cifrado en reposo para el proyecto de Atlas. Si hay un proyecto de Atlas para el que ya se activó el cifrado en reposo y configuró el acceso basado en credenciales a las llaves de cifrado, se debe seguir el procedimiento Cambiar a acceso basado en roles para la llave de cifrado para un proyecto para cambiar al acceso basado en roles a las llaves de cifrado.
Debes configurar la gestión de claves de cliente para el Proyecto Atlas antes de activarla en los clústeres de ese Proyecto.
Acceso requerido
Para configurar la gestión de claves de cliente, debes tener acceso de Project Owner al proyecto.
Los usuarios con acceso Organization Owner deben añadirse al proyecto como Project Owner.
Habilitar claves gestionadas por el cliente con AWS KMS
La gestión de claves de clientes en Atlas sigue un proceso denominado cifrado de sobre. Este proceso crea múltiples capas de cifrado al cifrar una clave con otra clave. Para habilitar la gestión de claves de los clientes, Atlas utiliza las siguientes claves de cifrado:
Customer-Managed Key (CMK)Las llaves gestionadas por el cliente son llaves de cifrado que usted crea, posee y administra en AWS KMS. Se crea la llave maestra de cliente en AWS KMS y se conecta a Atlas a nivel de Proyecto. Para obtener más información sobre las llave maestra de clienteutilizadas en AWS KMS, consulta la Documentación de AWS KMS.
Atlas utiliza esta llave solo para cifrar las claves principales de MongoDB.
MongoDB Master KeyCada nodo en tu clúster de Atlas crea una Clave Maestra de MongoDB. Las claves maestras de MongoDB son claves de cifrado que un MongoDB Server utiliza para cifrar las claves de cifrado por base de datos. Atlas guarda una copia cifrada de la clave localmente.
Esta clave se encuentra cifrada con la llave maestra de cliente y cifra las claves de cifrado específicas de cada base de datos.
Per-Database Encryption KeyCada nodo en su clúster de Atlas también crea una clave de cifrado por base de datos en su clúster. Atlas utiliza estas claves para leer y guardar datos a través de WiredTiger, que también cifra y almacena estas claves.
Esta clave está cifrada con la clave maestra de MongoDB.
Ejemplo
Considera la siguiente jerarquía de cifrado para un set de réplicas de tres nodos. Atlas utiliza la llave maestra de cliente de AWS KMS para cifrar una clave maestra única de MongoDB para cada nodo en el clúster. Cada nodo también contiene tres bases de datos, cada una de las cuales está cifrada con una llave de cifrado única por base de datos. Cuando el clúster se inicia, Atlas descifra la clave maestra de MongoDB utilizando la llave maestra de cliente de AWS KMS y la suministra al MongoDB Server.
Nota
Si se revoca el acceso de Atlas a la llave maestra de cliente, Atlas cierra los nodos del clúster y no se podrá acceder a los datos hasta que se restaure el acceso a la llave maestra de cliente.
Rota tu clave maestra de cliente de AWS
Nota
Esta característica no está disponible para ninguna de las siguientes implementaciones:
Clústeres gratuitos
Clústeres Flex
Para obtener más información, consulta Límites.
MongoDB Master Key - Responsabilidad de MongoDB
Cuando uses tu propio KMS de proveedor de nube, Atlas rotará automáticamente las Claves Maestras de MongoDB al menos cada 90 días. Tu rotación de claves comenzará durante un periodo de mantenimiento, si tienes una configurada. Posponer el mantenimiento (ya sea de forma manual o automática) puede hacer que la clave rote más allá del límite de 90días. Las claves se rotan de forma continua y el proceso no requiere que los datos se reescriban.
Tu clave de gestión de cliente (CMK) de AWS: tu responsabilidad
Atlas no rota automáticamente la AWS llave maestra de cliente utilizada para el Cifrado en reposo proporcionado por AWS.
Como práctica recomendada, Atlas crea una alert para recordar que se debe rotar la llave maestra de cliente de AWS cada 90 días por defecto cuando se activa el cifrado en reposo para un proyecto de Atlas. Se puede configurar el período de tiempo de esta alerta.
Puede rotar su AWS llave maestra de cliente usted mismo o configurar su instancia de AWS KMS para rotar automáticamente su llave maestra de cliente. Si se configura la rotación automática de AWS llave maestra de cliente, el periodo de rotación por defecto es de aproximadamente 365 días.
Si ya configuraste una rotación automática de llave maestra de cliente en AWS y no deseas recibir la alerta de Atlas para rotar tu llave maestra de cliente cada 90 días, puedes modificar el período por defecto de alerta para que sea superior a 365 días o desactivar la alerta.
Esta página explica cómo crear una nueva clave y actualizar el ID de llave maestra de cliente en Atlas para rotar tu llave maestra de cliente de proyecto en Atlas. Este método de rotación de claves ofrece un mayor control granular sobre el periodo de rotación en comparación con la rotación automática de llave maestra de cliente de AWS KMS.
Importante
Copias de seguridad en la nube con cifrado en reposo
Para los clústeres que utilizan Cifrado en reposo y Respaldar tu clúster, Atlas utiliza la llave maestra de cliente del proyecto y las credenciales de usuario AWS IAM en el momento de la instantánea para cifrar automáticamente los archivos de datos de la instantánea. Esta es una capa adicional de cifrado sobre el cifrado existente aplicado a todos los volúmenes de almacenamiento y snapshots de Atlas.
Atlas no vuelve a cifrar snapshots con la nueva llave maestra de cliente después de rotar. No borres la llave maestra de cliente antigua hasta que verifiques cada clúster habilitado para copias de seguridad en el Proyecto para comprobar si hay snapshots que aún usen esa llave maestra de cliente. Atlas borra las copias de seguridad de acuerdo con el Cronograma de copias de seguridad, retención y Snapshots on demand. Después de que Atlas borre todas las instantáneas que dependen de una llave maestra de cliente determinada, puedes borrar esa llave maestra de cliente de forma segura.
Procedimiento
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Actualiza los detalles de AWS llave maestra de cliente.
Ingrese la siguiente información:
CampoAcciónAWS IAM role
Seleccione un rol IAM de AWS existente que ya tenga acceso a sus claves de KMS, o autorice un nuevo rol y otorgue a este rol acceso a sus claves de KMS con los siguientes permisos:
Para obtener más información, consulta Acceso basado en roles a tu llave de cifrado para un Proyecto.
Customer Master Key ID
Introduce tu ID de clave maestra de cliente de AWS.
Customer Master Key Region
Seleccionar la región de AWS en la que creó la llave maestra de cliente con AWS.
Atlas enumera solo las regiones de AWS que admiten AWS KMS.
Haga clic en Save.
Atlas muestra un banner en la consola de Atlas durante el proceso de rotación de la llave maestra de cliente. No borrar ni desactivar la llave maestra de cliente hasta que los cambios se hayan implementado.
Reconfigure la región KMS de AWS durante una Interrupción del servicio
Durante una Interrupción del servicio regional, tu región de AWS KMS podría volverse inaccesible. Si has activado el cifrado en reposo usando la gestión de claves del cliente, puedes realizar operaciones de cifrado y descifrado mientras al menos un nodo siga disponible. Sin embargo, si todos los nodos dejan de estar disponibles, no podrás realizar operaciones criptográficas. Un nodo se vuelve inaccesible si se reinicia durante la interrupción del servicio.
Para restablecer los nodos no disponibles a un estado saludable, puedes reconfigurar tu región actual de AWS KMS a una región disponible. Para cambiar su KMS región, su AWS KMS clave debe ser una clave multiregión. Para crear una Clave multiregión, consulte la documentación de AWS.
Nota
No se puede convertir una clave de una sola región en una clave multiregión.
Procedimiento
Para volver a configurar tu región AWS KMS, completa los siguientes pasos en Atlas:
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Haz clic Saveen.
Próximos pasos
Puedes usar una clave gestionada por el cliente (llave maestra de cliente) de tu AWS KMS a través de una red pública o de AWS PrivateLink. Para obtener más información, consulta lo siguiente:
Active las claves administradas por el Cliente para los nodos de búsqueda
Por defecto, MongoDB y los procesos de búsqueda se ejecutan en los mismos nodos. Con esta arquitectura, el cifrado gestionado por el cliente se aplica a los datos de su base de datos, pero no se aplica a los índices de búsqueda.
Cuando activas nodos de búsqueda dedicados, los procesos de búsqueda se ejecutan en nodos separados. Esto permite activar el cifrado de datos del nodo de búsqueda, para que puedas cifrar tanto los datos de la base de datos como los índices de búsqueda con las mismas claves administradas por el cliente para una cobertura de cifrado integral.
Nota
Los nodos de la base de datos y los nodos de búsqueda utilizan diferentes métodos de cifrado con las mismas claves gestionadas por el cliente. Los nodos de la base de datos usan el motor de almacenamiento cifrado WiredTiger, mientras que los nodos de búsqueda usan cifrado a nivel de disco.
Temas relacionados
Para obtener más información sobre el cifrado en reposo de MongoDB, consulta Cifrado en reposo en la documentación del servidor de MongoDB.
Para obtener más información sobre el cifrado en reposo con copias de seguridad en la nube, consulta Motor de almacenamiento y cifrado de copias de seguridad en la nube.