Además de cifrar sus datos en reposo en Atlas con las claves administradas por el cliente (CMK) que usted crea, posee y administra en su AWS KMS, puedes agregar otra capa de seguridad configurando todo el tráfico hacia tu AWS KMS para usar AWS PrivateLink.
Esta página describe cómo configurar AWS PrivateLink en tu AWS KMS para garantizar que todo el tráfico entre Atlas y tu AWS KMS se realice a través de las interfaces de red privadas de AWS.
Considerations
Antes de habilitar el cifrado en reposo usando AWS KMS sobre PrivateLink, revisa los siguientes casos de uso, beneficios, limitaciones y requisitos previos.
Caso de uso
Supón que tu implementación de Atlas se realiza en un único proveedor de servicios en la nube. Ahora tienes un requisito de que todo el acceso a tu AWS KMS debe ocurrir a través de la infraestructura de red privada de tu proveedor de nube. Esta página le guía a través de los pasos para habilitar conexiones de nodos privados para su proyecto Atlas.
Beneficios
Puedes configurar cifrado en reposo con AWS KMS a través de una red privada. Esta configuración permite que todo el tráfico a tu AWS KMS pase a través de un conjunto de nodos privados y evita exponer tu AWS KMS a la Internet pública o a direcciones IP públicas. Esta configuración también elimina la necesidad de mantener direcciones IP permitidas, mejorando la seguridad de los datos al mantener todo el tráfico AWS KMS dentro de la red privada de AWS.
Limitaciones
Atlas admite cifrado en reposo mediante AWS KMS a través de redes privadas solo para implementaciones de una sola nube.
Atlas admite el cifrado en reposo utilizando AWS KMS a través de redes privadas solo para proyectos en la
ACTIVEestado.
Requisitos previos
Para habilitar las claves gestionadas por el cliente con AWS KMS para un proyecto de MongoDB, debes:
Utilice un clúster M10 o mayor.
Tener un rol de AWS IAM con privilegios suficientes. Atlas debe tener permiso para realizar las siguientes acciones con su clave:
Nota
Si desea utilizar la clave AWS KMS con un rol de AWS IAM de una cuenta de AWS diferente en lugar de la del rol de IAM que creó la clave AWS KMS, asegúrese de tener privilegios suficientes:
Agregue una declaración de política clave debajo de la clave AWS KMS para incluir la cuenta externa de AWS.
Agregue una política de IAM en línea para la función de IAM en la cuenta externa de AWS.
Para una discusión integral de los roles de IAM y claves maestras del cliente, consulta la documentación de AWS.
Después de confirmar los privilegios indicados, podrá seguir los pasos habituales para configurar los ajustes de KMS en Atlas, con la siguiente excepción:
Debes proporcionar el ARN completo para la AWS KMS Key (por ejemplo,
arn:aws:kms:eu-west-2:111122223333:key/12345678-1234-1234-1234-12345678) en lugar del master key ID (por ejemplo,12345678-1234-1234-1234-12345678) en el campo ID de clave AWS KMS.
Para aprender cómo crear un rol IAM, consulte Roles IAM en la documentación de AWS.
Atlas utiliza las mismas configuraciones de rol IAM y clave AWS KMS para todos los clústeres de un proyecto para los que esté habilitado el cifrado en reposo.
Si la configuración de AWS KMS lo requiere, permitir acceso desde Direcciones IP de Atlas y las direcciones IP públicas o los nombres de host DNS de tus nodos del clúster para que Atlas pueda comunicarse con tu KMS. Debe incluir las direcciones IP en su Política de rol de IAM administrada configurando Operadores de condición de dirección IP en su documento de políticas. Si las direcciones IP de los nodos cambian, debes actualizar la configuración para evitar interrupciones de conectividad.
Procedimientos
Habilitar el acceso basado en roles para su clave de cifrado para un proyecto
En Atlas, ve a Advanced página para tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Haz clic en el enlace Authorize a new IAM role para autorizar un rol IAM de AWS en Atlas para acceder a tus claves KMS de AWS para el cifrado en reposo.
Para crear un nuevo AWS IAM rol para acceder a sus AWS KMS claves para el cifrado en reposo, siga el procedimiento Crear una nueva rol con la AWS CLI. Si tienes un AWS IAM existente que deseas autorizar, sigue el procedimiento Agregar relaciones de confianza a un rol existente.
Agregue una política de acceso a su AWS IAM rol a través de la consola de AWS o la CLI. Consulta Gestión de políticas IAM para obtener más información.
Nota
Esta declaración de política permite que el principal de AWS de MongoDB utilice la clave KMS del cliente para operaciones de cifrado y descifrado. El principal de Atlas no es secreto y se utiliza en todos los clientes de Atlas. Se trata de una cuenta de AWS altamente restringida y con fines limitados, sin recursos aparte del usuario de IAM. El ExternalId en la declaración de política es único para cada proyecto de Atlas, pero no es secreto. El ExternalId se utiliza para mitigar la posibilidad de vulnerabilidades entre contextos (delegado confuso). El uso de un principal común por parte de Atlas para acceder a las claves de todos los clientes es un patrón de acceso recomendado por Amazon, como se describe aquí.
La política de acceso para el cifrado en reposo es similar a la siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:123456789012:key/12x345y6-7z89-0a12-3456-xyz123456789" ] } ] }
Envía una solicitud POST al extremo cloudProviderAccess.
Utiliza el API endpoint para crear un nuevo AWS IAM rol. Atlas utilizará este rol para autenticación con su cuenta AWS.
Mantén a la mano los valores de los campos devueltos atlasAWSAccountArn y atlasAssumedRoleExternalId para usarlos en el siguiente paso.
Modifica tu política de confianza de rol de AWS IAM.
Iniciar sesión en tu AWS Consola de gestión.
Navega al servicio Identity and Access Management (IAM).
Seleccione Roles en la navegación del lado izquierdo.
Haga clic en el rol de IAM existente que desea utilizar para acceder a Atlas de la lista de roles.
Selecciona la pestaña Trust Relationships.
Haga clic en el botón Edit trust relationship.
Editar el Policy Document. Agrega un objeto
Statementnuevo con el siguiente contenido.Nota
Esta declaración de política permite que el principal de AWS de MongoDB utilice la clave KMS del cliente para operaciones de cifrado y descifrado. El principal de Atlas no es secreto y se utiliza en todos los clientes de Atlas. Se trata de una cuenta de AWS altamente restringida y con fines limitados, sin recursos aparte del usuario de IAM. El
ExternalIden la declaración de política es único para cada proyecto de Atlas, pero no es secreto. ElExternalIdse utiliza para mitigar la posibilidad de vulnerabilidades entre contextos (delegado confuso). El uso de un principal común por parte de Atlas para acceder a las claves de todos los clientes es un patrón de acceso recomendado por Amazon, como se describe aquí.Nota
Reemplace las líneas destacadas con los valores devueltos de la llamada a la API en el paso 1.
{ "Version": "2020-03-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "<atlasAWSAccountArn>" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "<atlasAssumedRoleExternalId>" } } } ] } Haga clic en el botón Update Trust Policy.
Authorize el rol de IAM recién creado.
Utiliza el endpoint de API para autorizar y configurar el nuevo ARN del rol asumido de IAM. Si la llamada a la API se realiza de forma exitosa, puedes utilizar el valor de roleId cuando configures los servicios de Atlas que utilizan AWS.
Habilitar AWS KMS con autorización de rol en el proyecto
Envía una solicitud PATCH al punto final de la API encryptionAtRest para actualizar el campo awsKms.roleId con tu ID autorizado de rol de AWS IAM.
Nota
Este curl comando utiliza un token de acceso a la cuenta de servicio(OAuth) 2.0 para autenticarse en lugar de claves de API. Para obtener más información, consulte la guía de inicio rápido de la API de administración de Atlas.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/json" \ --header "Content-Type: application/json" \ --include \ --request PATCH \ "https://cloud.mongodb.com/api/atlas/v1.0/groups/{groupId}/encryptionAtRest?pretty=true&envelope=true" \ --data ' { "awsKms": { "enabled": true, "roleId": "<roleId>", "customerMasterKeyID": "<master-key-id>", "region": "<aws-region>" } }'
Después de activar el acceso basado en roles para tu llave de cifrado para tu Proyecto, activa las conexiones de nodos privados para tu Proyecto siguiendo Activar y configurar conexiones de nodos privados para un Proyecto.
Cambie a acceso basado en roles para su llave de cifrado en un Proyecto
AWS requiere el uso de IAM roles en lugar de IAM usuarios para gestionar el acceso a AWS KMS llaves de cifrado dentro de Atlas. Si inicialmente configuró su proyecto para utilizar credenciales de usuario de IAM para acceder a las claves KMS de AWS, cambie a acceso basado en roles utilizando el siguiente procedimiento.
Importante
Si cambia tus llaves de cifrado al acceso basado en roles, no podrás deshacer la configuración de acceso basado en roles ni volver al acceso basado en credenciales para las llaves de cifrado en ese proyecto.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Autoriza y asigna un rol de AWS IAM a Atlas para acceder a tus claves de AWS KMS para el cifrado en reposo.
Para crear un nuevo AWS IAM rol para acceder a sus AWS KMS claves para el cifrado en reposo, siga el procedimiento Crear una nueva rol con la AWS CLI. Si tienes un AWS IAM existente que deseas autorizar, sigue el procedimiento Agregar relaciones de confianza a un rol existente.
Para actualizar la gestión de llave de cifrado con la API de administración de Atlas, utilice los mismos pasos que se indican en el procedimiento anterior.
Habilitar y configurar conexiones de puntos finales privados para un proyecto
Para habilitar la red privada y configurar un nodo privado en tu AWS KMS, debes hacer lo siguiente:
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Ve a la página Private Endpoints for AWS KMS.
En la página Advanced, en la sección Encryption at Rest using your Key Management, realice los siguientes pasos:
Expande Network Settings para tu AWS KMS si está contraído.
Activa el botón junto a Require Private Networking.
Haga clic en Set up.
Se muestra la página Set Up Private Networking for AWS.
Replica tu clave de cifrado en cada región.
Inicie sesión en su panel de AWS KMS.
En la interfaz de usuario de Atlas, haz clic en Copy para guardar tu identificador de llave maestra de cliente ID.
En su panel de AWS KMS, replique su clave en todas las regiones deseadas. Para obtener más información, consulte la documentación de AWS.
En la interfaz de usuario de Atlas, haga clic en Continue
Especifica las regiones de AWS donde quieres crear nodos privados.
Selecciona las regiones de AWS del menú desplegable.
Haga clic en Continue.
Atlas crea automáticamente puntos finales privados en estas regiones para permitirle conectarse mediante redes privadas.
Atlas puede tardar hasta tres minutos en reflejar el estado actual de tu nodo privado. El punto final privado puede tener uno de los siguientes estados:
Activo | Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo. |
FALLADO | Indica que falló la creación del punto final privado. |
Habilitar la red privada.
Envíe una PATCH solicitud al encryptionAtRest punto final y establezca el requirePrivateNetworking valor del indicador true en.
Para obtener más información sobre los parámetros requeridos, consulta Actualizar la configuración para el cifrado en reposo utilizando claves administradas por el cliente para un proyecto.
Nota
Este curl comando utiliza un token de acceso a la cuenta de servicio(OAuth) 2.0 para autenticarse en lugar de claves de API. Para obtener más información, consulte la guía de inicio rápido de la API de administración de Atlas.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request PATCH "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/" \ --data ' { "awsKms": { "accessKeyID": "019dd98d94b4bb778e7552e4", "customerMasterKeyID": "string", "enabled": true, "region": "US_EAST_1", "roleId": "32b6e34b3d91647abb20e7b8", "secretAccessKey": "string", "requirePrivateNetworking": true } }'
Crea un extremo privado.
Utilice la API de administración de Atlas para crear un punto final privado para comunicarse con su AWS KMS.
Envía una solicitud POST al encryptionAtRest punto final con la región AWS en la que deseas que Atlas cree el punto final privado. Debes enviar una solicitud por separado para cada región en la que quieras que Atlas cree un nodo privado.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints" \ --data ' { "regionName": "US_EAST_1" }'
Después de crear el nodo privado, se aplican las siguientes restricciones:
Atlas crea todos los clústeres nuevos solo en las regiones con puntos finales privados aprobados.
Atlas implementa nodos adicionales para clústeres existentes solo en las regiones con puntos finales privados aprobados.
Consulta el estado de tu solicitud.
Para comprobar el estado del endpoint privado, envíe una solicitud GET al encryptionAtRest endpoint.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints"
{ "links": [ { "href": "https://cloud.mongodb.com/api/atlas", "rel": "self" } ], "results": [ { "cloudProvider": "AWS", "id": "24-hexadecimal-digit-string", "privateEndpointConnectionName": "string", "regionName": "US_EAST_1", "status": "INITIATING", } ], "totalCount": 1 }
Atlas puede tardar hasta tres minutos en reflejar el estado actual de tu nodo privado. El punto final privado puede tener uno de los siguientes estados:
Activo | Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo. |
FALLADO | Indica que falló la creación del punto final privado. |
Después de habilitar la gestión de claves de cliente para su Proyecto y configurar los nodos privados, habilite la gestión de claves de cliente para cada clúster de Atlas en su Proyecto siguiendo Habilitar la gestión de claves de cliente para un clúster de Atlas.
Importante
Si tienes un clúster de AWS multiregión existente con la gestión de claves de cliente activada mediante una AWS KMS clave de una sola región, no puedes activar la opción Require Private Networking. Esta configuración no es compatible.
Activar la gestión de claves de cliente para un clúster de Atlas
Después de activar el Acceso Basado en Roles para tu clave de cifrado de un proyecto, debes habilitar la gestión de claves de cliente para cada clúster de Atlas que contenga los datos que deseas cifrar.
Nota
Debes tener el rol de Project Owner para permitir la gestión de claves de cliente para el clúster en ese proyecto.
llave maestra de cliente multirregional
Para AWS CMK multirregional, asegúrese de agregar cada ARN de clave regional a la política de clave KMS para que los clústeres Atlas en esas regiones puedan acceder a ella.
Para los clústeres nuevos, cambie la configuración Administrar sus propias claves de cifrado a Yes cuando cree el clúster.
Para los clústeres existentes:
En Atlas, ve a la página Clusters de tu proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Clusters en la sección Database.
La página de clústeres se muestra.
Active el cifrado del clúster.
Expande el panel Additional Settings.
Se debe cambiar el ajuste de Manage your own encryption keys a Yes.
Se debe verificar el estado de la configuración de Require Private Networking para el clúster.
Si configuraste el cifrado en reposo mediante clave maestra del cliente CMK (a través de redes privadas) para Atlas a nivel de proyecto, el estado es Active. Si no se configuró ninguna conexión de nodos privados para el proyecto, el estado es Inactive.
Deshabilitar claves administradas por el cliente para un proyecto
Para deshabilitar llave maestra de cliente para un Proyecto, primero debes remover todos los nodos privados asociados con el Proyecto, independientemente de su estado. Atlas muestra un error si intentas deshabilitar llave maestra de cliente para un proyecto que está asociado con nodos privados activos.
Después de remover todos los nodos privados de un Proyecto, debe desactivar la gestión de claves del cliente en cada clúster del Proyecto antes de desactivar la funcionalidad para el Proyecto.
Advertencia
No deshabilite ni elimine ninguna clave de AWS KMS que utilice ningún clúster de su proyecto Atlas antes de deshabilitar la administración de claves de cliente en el proyecto Atlas. Si Atlas no puede acceder a una clave de AWS KMS, los datos cifrados por esta se volverán inaccesibles.
Crear nuevos endpoints para un proyecto
Después de habilitar y configurar las conexiones de nodos privados para tu Proyecto, puedes agregar nodos adicionales en cualquier momento desde la Interfaz de Usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Ve a la página Private Endpoints for AWS KMS.
En la página Advanced, en la sección Encryption at Rest using your Key Management, realiza las siguientes acciones:
Expande Network Settings para tu AWS KMS si está contraído.
Haga clic en Manage.
La página Private Endpoints for AWS KMS muestra las regiones, el nombre del punto final, el estado de los nodos privados de tus clústeres de Atlas y las acciones que puedes realizar sobre los nodos privados.
Especifique las regiones donde desea crear nodos privados.
Selecciona las regiones de AWS del menú desplegable.
Haga clic en Continue.
Atlas crea automáticamente puntos finales privados en estas regiones para permitirle conectarse mediante redes privadas.
Atlas puede tardar hasta tres minutos en reflejar el estado actual de tu nodo privado. El punto final privado puede tener uno de los siguientes estados:
Activo | Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo. |
FALLADO | Indica que falló la creación del punto final privado. |
Crea un extremo privado.
Utilice la API de administración de Atlas para crear un punto final privado para comunicarse con su AWS KMS.
Envía una solicitud POST al encryptionAtRest endpoint con la región AWS en la que quieres que Atlas cree el private endpoint. Debes enviar una solicitud por separado para cada región en la que quieras que Atlas cree un punto de conexión privado.
Nota
Este curl comando utiliza un token de acceso a la cuenta de servicio(OAuth) 2.0 para autenticarse en lugar de claves de API. Para obtener más información, consulte la guía de inicio rápido de la API de administración de Atlas.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints" \ --data ' { "regionName": "US_EAST_1" }'
Después de crear el nodo privado, se aplican las siguientes restricciones:
Atlas crea todos los clústeres nuevos solo en las regiones con puntos finales privados aprobados.
Atlas implementa nodos adicionales para clústeres existentes solo en las regiones con puntos finales privados aprobados.
Consulta el estado de tu solicitud.
Para comprobar el estado del endpoint privado, envíe una solicitud GET al encryptionAtRest endpoint.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints"
{ "links": [ { "href": "https://cloud.mongodb.com/api/atlas", "rel": "self" } ], "results": [ { "cloudProvider": "AWS", "id": "24-hexadecimal-digit-string", "privateEndpointConnectionName": "string", "regionName": "US_EAST_1", "status": "INITIATING", } ], "totalCount": 1 }
Atlas puede tardar hasta tres minutos en reflejar el estado actual de tu nodo privado. El punto final privado puede tener uno de los siguientes estados:
Activo | Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo. |
FALLADO | Indica que falló la creación del punto final privado. |
Rechazar o remover la conexión de endpoint privado
Se pueden remover las conexiones de nodos privados desde la Interfaz de Usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Ve a la página Private Endpoints for AWS KMS.
En la página Advanced, en la sección Encryption at Rest using your Key Management, realiza las siguientes acciones:
Expande Network Settings para tu AWS KMS si está contraído.
Haga clic en Manage.
La página Private Endpoints for AWS KMS muestra las regiones, el nombre del punto final, el estado de los nodos privados de tus clústeres de Atlas y las acciones que puedes realizar sobre los nodos privados.
Para eliminar correctamente un punto final privado, envíe una solicitud al DELETE punto final de la API de Administración de Atlas y especifique el ID del proyecto y del punto final privado que desea eliminar. Puede recuperar el ID del punto final privado que desea eliminar enviando una GET solicitud al servicio "Devolver un punto final privado para un proveedor" de la API de Administración de Atlas.
Nota
Este curl comando utiliza un token de acceso a la cuenta de servicio(OAuth) 2.0 para autenticarse en lugar de claves de API. Para obtener más información, consulte la guía de inicio rápido de la API de administración de Atlas.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API --header "Content-Type: application/json" \ --include \ --request DELETE "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/ privateEndpoints/{endpointId}" \ --data ' { "cloudProvider": "AWS", "regions": [ "string" ] }'
Cuando utilices la API de administración de Atlas para borrar un punto final privado, el punto final privado pasa al estado DELETING mientras Atlas lo borra.
Si remueven o rechazan un nodo privado activo desde la Interfaz de Usuario de AWS, Atlas intentará automáticamente crear un nuevo nodo privado en la misma región.
Mientras Atlas intenta crear un nuevo endpoint privado, el estado del endpoint privado que rechazaste o eliminaste pasa a PENDING_RECREATION y el nuevo endpoint que Atlas intenta crear está en estado INITIATING. Debes aprobar el nuevo nodo privado después de que se cree.
Ver puntos finales privados y sus estados
Puedes ver los nodos privados en las diferentes regiones y sus estados desde la Interfaz de Usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Ve a la página Private Endpoints for AWS KMS.
En la página Advanced, en la sección Encryption at Rest using your Key Management, realiza las siguientes acciones:
Expande Network Settings para tu AWS KMS si está contraído.
Haga clic en Manage.
La página Private Endpoints for AWS KMS muestra las regiones, el nombre del punto final, el estado de los nodos privados de tus clústeres de Atlas y las acciones que puedes realizar sobre los nodos privados.
Puede ver el punto final privado y sus estados desde la API de administración de Atlas enviando una GET solicitud a la API de administración de Atlas encryptionAtRest para obtener todos los puntos finales o para obtener un punto final, para lo cual debe especificar el ID del punto final privado en la ruta.
Nota
Este curl comando utiliza un token de acceso a la cuenta de servicio(OAuth) 2.0 para autenticarse en lugar de claves de API. Para obtener más información, consulte la guía de inicio rápido de la API de administración de Atlas.
Ejemplo
Devolver todos los puntos finales privados para un proyecto
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API --header "Content-Type: application/json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints/"
Cada nodos privados puede estar en uno de los siguientes estados:
Activo | Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo. |
FALLADO | Indica que falló la creación del punto final privado. |
Desactivar conexiones de nodos privados para un Proyecto
Para deshabilitar las conexiones de puntos de conexión privados de un proyecto, primero debe eliminar todos los puntos de conexión privados asociados al proyecto, independientemente de su estado. Atlas no deshabilita las conexiones de puntos de conexión privados de un proyecto si este está asociado con puntos de conexión privados activos.
Después de remover todos los nodos privados para un Proyecto, puedes inhabilitar las conexiones de nodo privado para el Proyecto utilizando la Interfaz de Usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Para deshabilitar una conexión de punto final privado, envíe una PATCH solicitud al punto final con el requirePrivateNetworking valor de indicador booleano establecido false en.
Ejemplo
{ "awsKms": { "accessKeyID": "019dd98d94b4bb778e7552e4", "customerMasterKeyID": "string", "enabled": true, "region": "US_EAST_1", "roleId": "32b6e34b3d91647abb20e7b8", "secretAccessKey": "string" "requirePrivateNetworking": false } }
Temas relacionados
Para habilitar el cifrado en reposo mediante su administración de claves al implementar un clúster Atlas, consulte Administrar sus propias claves de cifrado.
Para habilitar el cifrado en reposo mediante la administración de claves para un clúster Atlas existente, consulte Habilitar el cifrado en reposo.
Para obtener más información sobre el cifrado en reposo utilizando la gestión de claves en Atlas, consulta Cifrado en reposo utilizando la gestión de claves del cliente.
Para obtener más información sobre el cifrado en reposo de MongoDB, consulta Cifrado en reposo en la documentación del servidor de MongoDB.
Para obtener más información sobre el cifrado en reposo con copias de seguridad en la nube, consulta Motor de almacenamiento y cifrado de copias de seguridad en la nube.
Para habilitar la Gestión de clave del cliente para Search Nodes, consulte Habilitar cifrado de datos en Search Nodes.