Para agentes de IA: hay un índice de documentación disponible en https://www.mongodb.com/es/docs/llms.txt — versiones en markdown de todas las páginas están disponibles agregando .md a cualquier ruta URL.
Docs Menu

Gestionar claves de cliente con Google Cloud KMS

Nota

Esta característica no está disponible para ninguna de las siguientes implementaciones:

  • Clústeres gratuitos

  • Clústeres Flex

Para obtener más información, consulta Límites.

Puedes usar una clave gestionada por el cliente (CMK) de Google Cloud KMS para cifrar aún más tus datos en reposo en Atlas.

Nota

El Modelo de Responsabilidad Compartida de MongoDB Atlas define los deberes complementarios de MongoDB y sus clientes en el mantenimiento de un entorno de datos seguro y resiliente. Bajo este marco, MongoDB gestiona la seguridad y la integridad operativa de la plataforma subyacente, mientras que los clientes son responsables de la configuración, gestión y políticas de datos de sus implementaciones específicas. Para obtener un desglose detallado de la propiedad en materia de seguridad y excelencia operativa, consulta el Modelo de Responsabilidad Compartida.

Atlas utiliza tu llave maestra de cliente de Google Cloud KMS para cifrar y descifrar las claves maestras de MongoDB, que luego se utilizan para cifrar los archivos de la base de datos del clúster y las snapshots de los proveedores de nube. Para obtener más información sobre cómo Atlas utiliza llave maestra de clientepara el cifrado, consulta Activar claves gestionadas por el cliente con Google Cloud KMS.

Cuando uses tu propio KMS de proveedor de nube, Atlas rotará automáticamente las Claves Maestras de MongoDB al menos cada 90 días. Tu rotación de claves comenzará durante un periodo de mantenimiento, si tienes una configurada. Posponer el mantenimiento (ya sea de forma manual o automática) puede hacer que la clave rote más allá del límite de 90días. Las claves se rotan de forma continua y el proceso no requiere que los datos se reescriban.

Debes configurar la gestión de claves de cliente para el Proyecto Atlas antes de activarla en los clústeres de ese Proyecto.

La gestión de claves de clientes en Atlas sigue un proceso denominado cifrado de sobre. Este proceso crea múltiples capas de cifrado al cifrar una clave con otra clave. Para habilitar la gestión de claves de los clientes, Atlas utiliza las siguientes claves de cifrado:

Customer-Managed Key (CMK)

Las claves gestionadas por el cliente son claves de cifrado que tú creas, posees y gestionas en Google Cloud KMS. Usted crea la llave maestra de cliente en Google Cloud KMS y la conecta a Atlas a nivel de Proyecto. Para obtener más información sobre las llaves maestras de clienteutilizadas en Google Cloud KMS, consulta la Documentación de Google Cloud.

Atlas utiliza esta llave solo para cifrar las claves principales de MongoDB.

MongoDB Master Key

Cada nodo en tu clúster de Atlas crea una Clave Maestra de MongoDB. Las claves maestras de MongoDB son claves de cifrado que un MongoDB Server utiliza para cifrar las claves de cifrado por base de datos. Atlas guarda una copia cifrada de la clave localmente.

Esta clave se encuentra cifrada con la llave maestra de cliente y cifra las claves de cifrado específicas de cada base de datos.

Per-Database Encryption Key

Cada nodo en su clúster de Atlas también crea una clave de cifrado por base de datos en su clúster. Atlas utiliza estas claves para leer y guardar datos a través de WiredTiger, que también cifra y almacena estas claves.

Esta clave está cifrada con la clave maestra de MongoDB.

Considerar la siguiente jerarquía de cifrado para un set de réplicas de tres nodos. Atlas utiliza la llave maestra de cliente de Google Cloud KMS para cifrar una clave maestra de MongoDB única para cada nodo del clúster. Cada nodo también contiene tres bases de datos, cada una de las cuales está cifrada con una clave de cifrado única por base de datos. Cuando se inicia el clúster, Atlas descifra la llave maestra de MongoDB mediante la llave maestra de cliente de Google Cloud KMS y la suministra a MongoDB Server.

Nota

Si se revoca el acceso de Atlas a la llave maestra de cliente, Atlas cierra los nodos del clúster y no se podrá acceder a los datos hasta que se restaure el acceso a la llave maestra de cliente.

Diagrama del flujo de trabajo de llave maestra de cliente con Google Cloud KMS y Atlas

Para configurar la gestión de claves de cliente, debes tener acceso de Project Owner al proyecto.

Los usuarios con acceso Organization Owner deben añadirse al proyecto como Project Owner.

Para habilitar claves gestionadas por el cliente con Google Cloud KMS para un proyecto de MongoDB, debes tener:

  • Utilice un clúster M10 o mayor.
  • Tu clave de cuenta de servicio de Google Cloud.

  • Tu llave de cifrado simétrica en Google Cloud KMS.

  • El ID de recurso de versión de clave asociado con tu clave de cifrado de Google Cloud KMS.

  • Una cuenta de servicio de Google Cloud con credenciales especificadas en tu Clave de cuenta de servicio con permisos suficientes para:

    • Obtener la versión de la llave de cifrado de Google Cloud KMS.

    • Cifre los datos con la versión de la clave de cifrado de Google Cloud KMS.

    • Descifra datos con la llave de cifrado de Google Cloud KMS.

    Nota

    La clave, no la versión de la clave, se encarga del descifrado.

  • Si la configuración de Google Cloud KMS lo requiere, crea Niveles de acceso de GCP para direcciones IP de Atlas y las direcciones IP públicas o los nombres DNS de host de tus nodos de clúster para que Atlas pueda comunicarse con tu KMS. Si las direcciones IP de los nodos cambian, debes actualizar la configuración para evitar interrupciones en la conectividad.

Debe habilitar la gestión de claves de cliente para un proyecto antes de poder habilitarla en un clúster de ese proyecto.

1
  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

  4. En la barra lateral, haga clic en Advanced.

    La página Avanzada se muestra.

2
3
4

Introduce el ID de recurso de la versión de clave para la clave de Google Cloud KMS que quieres usar para cifrar tus datos en reposo.

El ID del recurso de versión de tu clave es el nombre de recurso completamente calificado para una CryptoKeyVersion.

Importante

Se debe ingresar una ID válida antes de poder configurar un método de autenticación.

5

Atlas admite dos métodos de autenticación para GCP KMS:

  • Cuenta de servicio (recomendado): Utilice una cuenta de servicio gestionada por Atlas específica para tu proyecto para autenticarte en GCP.

  • Credenciales estáticas: Proporciona una clave de cuenta de servicio administrada por el cliente.

6

Después de Habilitar las claves gestionadas por el cliente para un Proyecto, se debe habilitar la gestión de claves por parte del cliente para cada clúster Atlas que contenga datos que se desea cifrar.

Nota

Debes tener el rol de Project Owner para permitir la gestión de claves de cliente para el clúster en ese proyecto.

Para los nuevos clústeres, activa la configuración Gestiona tus propias claves de cifrado en Yes al crear el clúster.

Para los clústeres existentes:

1
  1. Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Clusters en la sección Database.

La página de clústeres se muestra.

2

Para el clúster que contiene los datos que deseas cifrar, haz clic en la , y, a continuación, selecciona Edit Configuration.

3
  1. Expande el panel Additional Settings.

  2. Se debe cambiar el ajuste de Manage your own encryption keys a Yes.

  3. Se debe verificar el estado de la configuración de Require Private Networking para el clúster.

    Si se configuró el cifrado en reposo mediante la clave maestra del cliente (CMK) (a través de redes privadas) para Atlas a nivel de proyecto, el estado es Active. Si no se configuró ninguna conexión de nodos privados para el proyecto, el estado es Inactive.

4
  1. Haga clic en Review Changes.

  2. Se deben revisar los cambios y luego se debe hacer clic en Apply Changes para actualizar el clúster.

Atlas crea automáticamente un encryption key rotation alert una vez que se configura la gestión de claves de cliente (CKM) para un proyecto. Puede restablecer esta alerta en cualquier momento rotando la ID del recurso de la versión de GCP Key.

Nota

Esta característica no está disponible para ninguna de las siguientes implementaciones:

  • Clústeres gratuitos

  • Clústeres Flex

Para obtener más información, consulta Límites.

Cuando uses tu propio KMS de proveedor de nube, Atlas rotará automáticamente las Claves Maestras de MongoDB al menos cada 90 días. Tu rotación de claves comenzará durante un periodo de mantenimiento, si tienes una configurada. Posponer el mantenimiento (ya sea de forma manual o automática) puede hacer que la clave rote más allá del límite de 90días. Las claves se rotan de forma continua y el proceso no requiere que los datos se reescriban.

Atlas no rota automáticamente el ID del recurso de la versión clave utilizado para la gestión de claves de Google Cloud.

Como mejores prácticas, Atlas crea un alert para recordarte que debes rotar tu ID de recurso de versión de clave de GCP cada 90 días por defecto, cuando habilitas el cifrado en reposo para el Proyecto Atlas. Puedes configurar el período de tiempo de esta alerta.

Puedes rotar tu Google Cloud llave maestra de cliente tú mismo o configurar tu instancia de Google Cloud KMS para rotar automáticamente tu llave maestra de cliente. Si se configura la rotación automática de Google Cloud llave maestra de cliente, el periodo de tiempo por defecto para la rotación es de aproximadamente 365 días.

Si ya configuraste la rotación automática de llave maestra de cliente en Google Cloud y no deseas recibir la alerta de Atlas para rotar la llave maestra de cliente cada 90 días, puedes modificar el periodo de alertas predeterminado para que sea superior a 365 días.

Debes crear una nueva clave de cuenta de servicio en la cuenta de Google Cloud asociada a tu proyecto de Atlas.

El siguiente procedimiento documenta cómo rotar el Identificador clave del proyecto Atlas especificando un nuevo ID de recurso de versión de clave en Atlas.

1
  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

  4. En la barra lateral, haga clic en Advanced.

    La página Avanzada se muestra.

2
3
  1. Haz clic en Google Cloud KMS si la pestaña Google Cloud KMS no está ya activa.

  2. Expande Encryption Key Credentials si el cuadro de diálogo de Encryption Key Credentials no está ya mostrado.

  3. Introduce la ID de Recurso de Versión de Clave de GCP en la entrada Key Identifier.

    Incluye el nombre del recurso totalmente calificado para una CryptoKeyVersion.

    Ejemplo

    projects/my-project-0/locations/us-east4/keyRings/my-key-ring-0/cryptoKeys/my-key-0/cryptoKeyVersions/1

    La clave de cifrado debe pertenecer a la Clave de Cuenta de Servicio de Google Cloud configurada para su proyecto de Atlas. Haz clic en la sección Service Account Key para ver la Clave de cuenta de servicio configurada actualmente para el proyecto.

  4. Haga clic en Update Credentials.

Atlas muestra un banner en la consola de Atlas durante el proceso de rotación del Identificador de clave.

Advertencia

No se debe eliminar ni desactivar el ID de recurso de la versión de clave original hasta que se hayan implementado sus cambios.

Si el clúster utiliza respaldar tu clúster, no elimines ni desactives el ID de recurso de versión de clave original hasta que te asegures de que ninguna snapshot haya usado esa clave para cifrado.

Atlas reinicia el temporizador encryption key rotation alert al completar este procedimiento.

Por defecto, MongoDB y los procesos de búsqueda se ejecutan en los mismos nodos. Con esta arquitectura, el cifrado gestionado por el cliente se aplica a los datos de tu base de datos, pero no se aplica a los índices de búsqueda.

Cuando habilitas nodos de búsqueda dedicados, los procesos de búsqueda se ejecutan en nodos independientes. Esto te permite activar Cifrado de datos del nodo de búsqueda, para que puedas cifrar tanto los datos de la base de datos como los índices de búsqueda con el mismo cifrado administrado por el cliente, lo que proporciona una cobertura completa de cifrado.

Nota

Los nodos de la base de datos y los nodos de búsqueda utilizan diferentes métodos de cifrado con las mismas claves gestionadas por el cliente. Los nodos de la base de datos usan el motor de almacenamiento cifrado WiredTiger, mientras que los nodos de búsqueda usan cifrado a nivel de disco.

Importante

Esta función está disponible en todos los proveedores de servicios de gestión del conocimiento (KMS).