Además de cifrar sus datos en reposo en Atlas con las claves administradas por el cliente (CMK) que usted crea, posee y administra en su AWS KMS, puede agregar otra capa de seguridad configurando todo el tráfico a su AWS KMS para usar AWS PrivateLink.
Esta página describe cómo configurar AWS PrivateLink en su AWS KMS para garantizar que todo el tráfico entre Atlas y su AWS KMS se realice a través de las interfaces de red privada de AWS.
Considerations
Antes de habilitar el cifrado en reposo mediante AWS KMS sobre PrivateLink, revise los siguientes casos de uso, beneficios, limitaciones y requisitos previos.
Caso de uso
Supongamos que su implementación de Atlas está en un único proveedor de servicios en la nube. Ahora, el requisito es que todo el acceso a su AWS KMS se realice a través de la infraestructura de red privada de su proveedor. Esta página le guía por los pasos para habilitar conexiones de endpoints privados para su proyecto Atlas.
Beneficios
Puede configurar el cifrado en reposo con AWS KMS a través de una red privada. Esta configuración permite que todo el tráfico de su AWS KMS pase por un conjunto de puntos de conexión privados y evita exponer su AWS KMS a la red pública de Internet o a direcciones IP públicas. Esta configuración también elimina la necesidad de mantener las direcciones IP permitidas, a la vez que mejora la seguridad de los datos al mantener todo el tráfico de AWS KMS dentro de la red privada de AWS.
Limitaciones
Atlas admite cifrado en reposo mediante AWS KMS a través de redes privadas solo para implementaciones de una sola nube.
Atlas admite el cifrado en reposo mediante AWS KMS a través de redes privadas solo para proyectos en
ACTIVEestado.
Requisitos previos
Para habilitar claves administradas por el cliente con AWS KMS para un proyecto MongoDB, debe:
Utilice un clúster M10 o mayor.
Tener un rol de AWS IAM con privilegios suficientes. Atlas debe tener permiso para realizar las siguientes acciones con su clave:
Nota
Si desea utilizar la clave AWS KMS con un rol de AWS IAM de una cuenta de AWS diferente en lugar de la del rol de IAM que creó la clave AWS KMS, asegúrese de tener privilegios suficientes:
Agregue una declaración de política clave debajo de la clave AWS KMS para incluir la cuenta externa de AWS.
Agregue una política de IAM en línea para la función de IAM en la cuenta externa de AWS.
Para obtener una discusión completa sobre los roles de IAM y las claves maestras del cliente, consulte la documentación de AWS.
Después de confirmar los privilegios anteriores, puede seguir los pasos habituales para configurar los ajustes de KMS en Atlas, con la siguiente excepción:
Debe proporcionar el ARN completo para la clave AWS KMS (por
arn:aws:kms:eu-west-2:111122223333:key/12345678-1234-1234-1234-12345678ejemplo,) en lugar del ID de clave maestra (por12345678-1234-1234-1234-12345678ejemplo,) en el campo ID de clave AWS KMS.
Para aprender a crear un rol de IAM, consulte Roles de IAM en la documentación de AWS.
Atlas usa la misma función de IAM y la misma configuración de clave de AWS KMS para todos los clústeres de un proyecto para el que está habilitado el cifrado en reposo.
Si su configuración de AWS KMS lo requiere, permita el acceso desde Las direcciones IP de Atlas y las direcciones IP públicas o los nombres de host DNS de los nodos de su clúster para que Atlas pueda comunicarse con su KMS. Debe incluir las direcciones IP en su política de rol de IAM administrada configurando operadores de condición de dirección IP en su documento de política. Si las direcciones IP de los nodos cambian, debe actualizar su configuración para evitar interrupciones de la conectividad.
Procedimientos
Habilitar el acceso basado en roles para su clave de cifrado para un proyecto
En Atlas, vaya a la Advanced Página para su proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Haga clic en el Authorize a new IAM role enlace para autorizar una función de AWS IAM en Atlas para acceder a sus claves de AWS KMS para el cifrado en reposo.
Para crear un nuevo rol de AWS IAM y acceder a sus claves de AWS KMS para el cifrado en reposo, siga el procedimiento "Crear un nuevo rol con la CLI de AWS". Si ya tiene un rol de AWS IAM que desea autorizar, siga el procedimiento "Añadir relaciones de confianza a un rol existente".
Agregue una política de acceso a su rol de IAM de AWS mediante la consola de AWS o la CLI. Consulte Administrar políticas de IAM para obtener más información.
Nota
Esta declaración de política permite que el principal de AWS de MongoDB utilice la clave KMS del cliente para operaciones de cifrado y descifrado. El principal de Atlas no es secreto y se utiliza en todos los clientes de Atlas. Se trata de una cuenta de AWS altamente restringida y con fines limitados, sin recursos aparte del usuario de IAM. El ExternalId en la declaración de política es único para cada proyecto de Atlas, pero no es secreto. El ExternalId se utiliza para mitigar la posibilidad de vulnerabilidades entre contextos (delegado confuso). El uso de un principal común por parte de Atlas para acceder a las claves de todos los clientes es un patrón de acceso recomendado por Amazon, como se describe aquí.
La política de acceso para el cifrado en reposo es similar a la siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:123456789012:key/12x345y6-7z89-0a12-3456-xyz123456789" ] } ] }
Envíe una solicitud POST al punto cloudProviderAccess final.
Utilice el punto de conexión de la API para crear un nuevo rol de AWS IAM. Atlas utilizará este rol para la autenticación con su cuenta de AWS.
Mantenga los valores de campo devueltos atlasAWSAccountArn y atlasAssumedRoleExternalId a mano para usarlos en el siguiente paso.
Modifique su política de confianza del rol de AWS IAM.
Inicie sesión en su consola de administración de AWS.
Navegue hasta el servicio Identity and Access Management (IAM).
Seleccione Roles en la navegación del lado izquierdo.
Haga clic en el rol de IAM existente que desea utilizar para acceder a Atlas de la lista de roles.
Seleccione la pestaña Trust Relationships.
Haga clic en el botón Edit trust relationship.
Edite el Policy Document. Agregue un nuevo objeto
Statementcon el siguiente contenido.Nota
Esta declaración de política permite que el principal de AWS de MongoDB utilice la clave KMS del cliente para operaciones de cifrado y descifrado. El principal de Atlas no es secreto y se utiliza en todos los clientes de Atlas. Se trata de una cuenta de AWS altamente restringida y con fines limitados, sin recursos aparte del usuario de IAM. El
ExternalIden la declaración de política es único para cada proyecto de Atlas, pero no es secreto. ElExternalIdse utiliza para mitigar la posibilidad de vulnerabilidades entre contextos (delegado confuso). El uso de un principal común por parte de Atlas para acceder a las claves de todos los clientes es un patrón de acceso recomendado por Amazon, como se describe aquí.Nota
Reemplace las líneas destacadas con los valores devueltos de la llamada a la API en el paso 1.
{ "Version": "2020-03-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "<atlasAWSAccountArn>" }, "Action:" "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "<atlasAssumedRoleExternalId>" } } } ] } Haga clic en el botón Update Trust Policy.
Autorizar la función IAM recién creada.
Utilice el punto de conexión de la API para autorizar y configurar el nuevo ARN de rol asumido de IAM. Si la llamada a la API se realiza correctamente, puede usar el roleId valor al configurar los servicios de Atlas que utilizan AWS.
Habilitar AWS KMS con autorización de roles en el proyecto
Envía una solicitud PATCH al punto final de la API encryptionAtRest para actualizar el campo awsKms.roleId con tu ID autorizado de rol de AWS IAM.
Ejemplo
curl --user "{public key}:{private key}" --digest \ --header "Accept: application/json" \ --header "Content-Type: application/json" \ --include \ --request PATCH \ "https://cloud.mongodb.com/api/atlas/v1.0/groups/{groupId}/encryptionAtRest?pretty=true&envelope=true" \ --data ' { "awsKms": { "enabled": true, "roleId": "<roleId>", "customerMasterKeyID": "<master-key-id>", "region": "<aws-region>" } }'
Después de habilitar el acceso basado en roles para su clave de cifrado para su proyecto, habilite las conexiones de puntos finales privados para su proyecto siguiendo Habilitar y configurar conexiones de puntos finales privados para un proyecto.
Cambiar al acceso basado en roles para su clave de cifrado para un proyecto
AWS requiere el uso de roles de IAM en lugar de usuarios de IAM para administrar el acceso a las claves de cifrado de AWS KMS en Atlas. Si inicialmente configuró su proyecto para usar credenciales de usuario de IAM para acceder a las claves de AWS KMS, cambie al acceso basado en roles mediante el siguiente procedimiento.
Importante
Si cambia tus llaves de cifrado al acceso basado en roles, no podrás deshacer la configuración de acceso basado en roles ni volver al acceso basado en credenciales para las llaves de cifrado en ese proyecto.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Autorice y asigne una función de AWS IAM a Atlas para acceder a sus claves de AWS KMS para el cifrado en reposo.
Para crear un nuevo rol de AWS IAM y acceder a sus claves de AWS KMS para el cifrado en reposo, siga el procedimiento "Crear un nuevo rol con la CLI de AWS". Si ya tiene un rol de AWS IAM que desea autorizar, siga el procedimiento "Añadir relaciones de confianza a un rol existente".
Para actualizar la gestión de su clave de cifrado con la API de administración de Atlas, utilice los mismos pasos descritos en el procedimiento anterior.
Habilitar y configurar conexiones de puntos finales privados para un proyecto
Para habilitar redes privadas y configurar un punto final privado en su AWS KMS, debe hacer lo siguiente:
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Vaya a la Private Endpoints for AWS KMS página.
En la página Advanced, en la sección Encryption at Rest using your Key Management, realice los siguientes pasos:
Expande Network Settings para tu AWS KMS si está contraído.
Activa el botón situado junto a Require Private Networking.
Haga clic en Set up.
Se muestra la página Set Up Private Networking for AWS.
Replica tu clave de cifrado en cada región.
Inicie sesión en su panel de AWS KMS.
En la interfaz de usuario de Atlas, haga clic en Copy para guardar la identificación de su clave maestra de cliente.
En su panel de AWS KMS, replique su clave en todas las regiones deseadas. Para obtener más información, consulte la documentación de AWS.
En la interfaz de usuario de Atlas, haga clic en Continue
Especifica las regiones de AWS donde quieres crear nodos privados.
Seleccione las regiones de AWS en el menú desplegable.
Haga clic en Continue.
Atlas crea automáticamente puntos finales privados en estas regiones para permitirle conectarse mediante redes privadas.
Atlas puede tardar hasta tres minutos en reflejar el estado actual de tu nodo privado. El punto final privado puede tener uno de los siguientes estados:
ACTIVO | Indica que el punto final privado está aprobado y Atlas puede o está usándolo. |
FALLADO | Indica que falló la creación del punto final privado. |
Habilitar redes privadas.
Envíe una PATCH solicitud al encryptionAtRest punto final y establezca el requirePrivateNetworking valor del indicador true en.
Para obtener más información sobre los parámetros necesarios, consulte Actualizar la configuración para el cifrado en reposo mediante claves administradas por el cliente para un proyecto.
Ejemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request PATCH "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/" \ --data ' { "awsKms": { "accessKeyID": "019dd98d94b4bb778e7552e4", "customerMasterKeyID": "string", "enabled": true, "region": "US_EAST_1", "roleId": "32b6e34b3d91647abb20e7b8", "secretAccessKey": "string", "requirePrivateNetworking": true } }'
Crear un punto final privado.
Utilice la API de administración de Atlas para crear un punto final privado para comunicarse con su AWS KMS.
Envíe una POST solicitud al encryptionAtRest punto final con la región de AWS en la que desea que Atlas cree el punto final privado. Debe enviar una solicitud por separado para cada región en la que desee que Atlas cree un punto final privado.
Ejemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints" \ --data ' { "regionName": "US_EAST_1" }'
Después de crear el punto final privado, se aplican las siguientes restricciones:
Atlas crea todos los clústeres nuevos solo en las regiones con puntos finales privados aprobados.
Atlas implementa nodos adicionales para clústeres existentes solo en las regiones con puntos finales privados aprobados.
Verifique el estado de su solicitud.
Para comprobar el estado del punto final privado, envíe una GET solicitud al encryptionAtRest punto final.
Ejemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints"
{ "links": [ { "href": "https://cloud.mongodb.com/api/atlas", "rel": "self" } ], "results": [ { "cloudProvider": "AWS", "id": "24-hexadecimal-digit-string", "privateEndpointConnectionName": "string", "regionName": "US_EAST_1", "status": "INITIATING", } ], "totalCount": 1 }
Atlas puede tardar hasta tres minutos en reflejar el estado actual de tu nodo privado. El punto final privado puede tener uno de los siguientes estados:
ACTIVO | Indica que el punto final privado está aprobado y Atlas puede o está usándolo. |
FALLADO | Indica que falló la creación del punto final privado. |
Después de habilitar la administración de claves de cliente para su proyecto y configurar puntos finales privados, habilite la administración de claves de cliente para cada clúster Atlas en su proyecto siguiendo Habilitar la administración de claves de cliente para un clúster Atlas.
Importante
Si ya tiene un clúster de AWS multirregional con la administración de claves de cliente habilitada mediante una clave de AWS KMS de una sola región, no podrá habilitar la Require Private Networking opción. Esta configuración no es compatible.
Activar la gestión de claves de cliente para un clúster de Atlas
Después de habilitar el acceso basado en roles para su clave de cifrado para un proyecto, debe habilitar la administración de claves de cliente para cada clúster de Atlas que contenga datos que desee cifrar.
Nota
Debes tener el rol de Project Owner para permitir la gestión de claves de cliente para el clúster en ese proyecto.
CMK multirregional
Para AWS CMK multirregional, asegúrese de agregar cada ARN de clave regional a la política de clave KMS para que los clústeres Atlas en esas regiones puedan acceder a ella.
Para los clústeres nuevos, cambie la configuración Administrar sus propias claves de cifrado a Yes cuando cree el clúster.
Para los clústeres existentes:
En Atlas, ve a la página Clusters de tu proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Clusters en la sección Database.
La página de clústeres se muestra.
Active el cifrado del clúster.
Expande el panel Additional Settings.
Se debe cambiar el ajuste de Manage your own encryption keys a Yes.
Se debe verificar el estado de la configuración de Require Private Networking para el clúster.
Si configuraste el cifrado en reposo mediante clave maestra del cliente CMK (a través de redes privadas) para Atlas a nivel de proyecto, el estado es Active. Si no se configuró ninguna conexión de nodos privados para el proyecto, el estado es Inactive.
Deshabilitar claves administradas por el cliente para un proyecto
Para deshabilitar CMK en un proyecto, primero debe eliminar todos los endpoints privados asociados a él, independientemente de su estado. Atlas muestra un error si intenta deshabilitar CMK en un proyecto asociado con endpoints privados activos.
Después de eliminar todos los puntos finales privados de un proyecto, debe deshabilitar la administración de claves de cliente en cada clúster del proyecto antes de deshabilitar la función para el proyecto.
Advertencia
No deshabilite ni elimine ninguna clave de AWS KMS que utilice ningún clúster de su proyecto Atlas antes de deshabilitar la administración de claves de cliente en el proyecto Atlas. Si Atlas no puede acceder a una clave de AWS KMS, los datos cifrados por esta se volverán inaccesibles.
Crear nuevos puntos finales para un proyecto
Después de habilitar y configurar conexiones de puntos finales privados para su proyecto, puede agregar puntos finales adicionales en cualquier momento desde la interfaz de usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Vaya a la Private Endpoints for AWS KMS página.
En la página Advanced, en la sección Encryption at Rest using your Key Management, realice las siguientes acciones:
Expande Network Settings para tu AWS KMS si está contraído.
Haga clic en Manage.
La página Private Endpoints for AWS KMS muestra las regiones, el nombre del punto final, el estado de los puntos finales privados para sus clústeres Atlas y las acciones que puede realizar en los puntos finales privados.
Especifique las regiones donde desea crear puntos finales privados.
Seleccione las regiones de AWS en el menú desplegable.
Haga clic en Continue.
Atlas crea automáticamente puntos finales privados en estas regiones para permitirle conectarse mediante redes privadas.
Atlas puede tardar hasta tres minutos en reflejar el estado actual de tu nodo privado. El punto final privado puede tener uno de los siguientes estados:
ACTIVO | Indica que el punto final privado está aprobado y Atlas puede o está usándolo. |
FALLADO | Indica que falló la creación del punto final privado. |
Crear un punto final privado.
Utilice la API de administración de Atlas para crear un punto final privado para comunicarse con su AWS KMS.
Envíe una POST solicitud al encryptionAtRest punto de conexión con la región de AWS donde desea que Atlas cree el punto de conexión privado. Debe enviar una solicitud independiente para cada región donde desee que Atlas cree un punto de conexión privado.
Ejemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints" \ --data ' { "regionName": "US_EAST_1" }'
Después de crear el punto final privado, se aplican las siguientes restricciones:
Atlas crea todos los clústeres nuevos solo en las regiones con puntos finales privados aprobados.
Atlas implementa nodos adicionales para clústeres existentes solo en las regiones con puntos finales privados aprobados.
Verifique el estado de su solicitud.
Para comprobar el estado del punto final privado, envíe una GET solicitud al encryptionAtRest punto final.
Ejemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints"
{ "links": [ { "href": "https://cloud.mongodb.com/api/atlas", "rel": "self" } ], "results": [ { "cloudProvider": "AWS", "id": "24-hexadecimal-digit-string", "privateEndpointConnectionName": "string", "regionName": "US_EAST_1", "status": "INITIATING", } ], "totalCount": 1 }
Atlas puede tardar hasta tres minutos en reflejar el estado actual de tu nodo privado. El punto final privado puede tener uno de los siguientes estados:
ACTIVO | Indica que el punto final privado está aprobado y Atlas puede o está usándolo. |
FALLADO | Indica que falló la creación del punto final privado. |
Rechazar o eliminar la conexión de punto final privado
Se pueden remover las conexiones de nodos privados desde la Interfaz de Usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Vaya a la Private Endpoints for AWS KMS página.
En la página Advanced, en la sección Encryption at Rest using your Key Management, realice las siguientes acciones:
Expande Network Settings para tu AWS KMS si está contraído.
Haga clic en Manage.
La página Private Endpoints for AWS KMS muestra las regiones, el nombre del punto final, el estado de los puntos finales privados para sus clústeres Atlas y las acciones que puede realizar en los puntos finales privados.
Para eliminar correctamente un punto final privado, envíe una solicitud al DELETE punto final de la API de Administración de Atlas y especifique el ID del proyecto y del punto final privado que desea eliminar. Puede recuperar el ID del punto final privado que desea eliminar enviando una GET solicitud al servicio "Devolver un punto final privado para un proveedor" de la API de Administración de Atlas.
Ejemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API --header "Content-Type: application/json" \ --include \ --request DELETE "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/ privateEndpoints/{endpointId}" \ --data ' { "cloudProvider": "AWS", "regions": [ "string" ] }'
Cuando utilices la API de administración de Atlas para borrar un punto final privado, el punto final privado pasa al estado DELETING mientras Atlas lo borra.
Si elimina o rechaza un punto final privado activo de la interfaz de usuario de AWS, Atlas intenta automáticamente recrear un nuevo punto final privado en la misma región.
Mientras Atlas intenta crear un nuevo punto final privado, el estado del punto final privado que rechazó o eliminó cambia a PENDING_RECREATION y el nuevo punto final que Atlas intenta crear tiene el estado INITIATING. Debe aprobar el nuevo punto final privado después de crearlo.
Ver puntos finales privados y sus estados
Puede ver los puntos finales privados en las distintas regiones y sus estados desde la interfaz de usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Vaya a la Private Endpoints for AWS KMS página.
En la página Advanced, en la sección Encryption at Rest using your Key Management, realice las siguientes acciones:
Expande Network Settings para tu AWS KMS si está contraído.
Haga clic en Manage.
La página Private Endpoints for AWS KMS muestra las regiones, el nombre del punto final, el estado de los puntos finales privados para sus clústeres Atlas y las acciones que puede realizar en los puntos finales privados.
Puede ver el punto final privado y sus estados desde la API de administración de Atlas enviando una GET solicitud a la API de administración de Atlas encryptionAtRest para obtener todos los puntos finales o para obtener un punto final, para lo cual debe especificar el ID del punto final privado en la ruta.
Ejemplo
Devolver todos los puntos finales privados para un proyecto
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API --header "Content-Type: application/json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints/"
Cada punto final privado puede estar en uno de los siguientes estados:
ACTIVO | Indica que el punto final privado está aprobado y Atlas puede o está usándolo. |
FALLADO | Indica que falló la creación del punto final privado. |
Deshabilitar conexiones de puntos finales privados para un proyecto
Para deshabilitar las conexiones de puntos de conexión privados de un proyecto, primero debe eliminar todos los puntos de conexión privados asociados al proyecto, independientemente de su estado. Atlas no deshabilita las conexiones de puntos de conexión privados de un proyecto si este está asociado con puntos de conexión privados activos.
Después de eliminar todos los puntos finales privados de un proyecto, puede deshabilitar las conexiones de puntos finales privados para el proyecto mediante la interfaz de usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Para deshabilitar una conexión de punto final privado, envíe una PATCH solicitud al punto final con el requirePrivateNetworking valor de indicador booleano establecido false en.
Ejemplo
{ "awsKms": { "accessKeyID": "019dd98d94b4bb778e7552e4", "customerMasterKeyID": "string", "enabled": true, "region": "US_EAST_1", "roleId": "32b6e34b3d91647abb20e7b8", "secretAccessKey": "string" "requirePrivateNetworking": false } }
Temas relacionados
Para habilitar el cifrado en reposo mediante su administración de claves al implementar un clúster Atlas, consulte Administrar sus propias claves de cifrado.
Para habilitar el cifrado en reposo mediante la administración de claves para un clúster Atlas existente, consulte Habilitar el cifrado en reposo.
Para obtener más información sobre el cifrado en reposo utilizando la gestión de claves en Atlas, consulta Cifrado en reposo utilizando la gestión de claves del cliente.
Para obtener más información sobre el cifrado en reposo de MongoDB, consulte Cifrado en reposo en la documentación del servidor MongoDB.
Para obtener más información sobre el cifrado en reposo con copias de seguridad en la nube, consulte Motor de almacenamiento y cifrado de copias de seguridad en la nube.
Para habilitar la administración de claves de cliente para los nodos de búsqueda,consulte Habilitar el cifrado de datos del nodo de búsqueda.