Además de cifrar tus datos en reposo en Atlas con las claves gestionadas por el cliente (CMK) que creas, posees y administras en tu AWS KMS, puedes agregar otra capa de seguridad configurando todo el tráfico hacia tu AWS KMS para usar AWS PrivateLink.
Nota
El Modelo de Responsabilidad Compartida de MongoDB Atlas define los deberes complementarios de MongoDB y sus clientes en el mantenimiento de un entorno de datos seguro y resiliente. Bajo este marco, MongoDB gestiona la seguridad y la integridad operativa de la plataforma subyacente, mientras que los clientes son responsables de la configuración, gestión y políticas de datos de sus implementaciones específicas. Para obtener un desglose detallado de la propiedad en materia de seguridad y excelencia operativa, consulta el Modelo de Responsabilidad Compartida.
Esta página describe cómo configurar AWS PrivateLink en tu AWS KMS para garantizar que todo el tráfico entre Atlas y tu AWS KMS se realice a través de las interfaces de red privadas de AWS.
Considerations
Antes de habilitar el cifrado en reposo usando AWS KMS sobre PrivateLink, revisa los siguientes casos de uso, beneficios, limitaciones y requisitos previos.
Caso de uso
Supongamos que tu implementación de Atlas está en un solo proveedor de servicios en la nube. Ahora tienes el requerimiento de que todo acceso a tu AWS KMS ocurra a través de la infraestructura de redes privadas de tu proveedor de nube. Esta página le guía a través de los pasos para habilitar conexiones de nodos privados para su Proyecto Atlas.
Beneficios
Puede configurar el cifrado en reposo con la AWS KMS a través de una red privada. Esta configuración permite que todo el tráfico hacia tu AWS KMS pase a través de un conjunto de nodos privados y evita exponer tu AWS KMS a la Internet pública o a direcciones IP públicas. Esta configuración también elimina la necesidad de mantener direcciones IP permitidas y al mismo tiempo mejora la seguridad de los datos al mantener todo el tráfico de AWS KMS dentro de la red privada de AWS.
Limitaciones
Atlas admite el cifrado en reposo usando AWS KMS solo a través de redes privadas para implementaciones de nube única.
Atlas admite el cifrado en reposo utilizando AWS KMS a través de una red privada solo para proyectos en el estado de
ACTIVE.
Requisitos previos
Para habilitar las claves gestionadas por el cliente con AWS KMS para un proyecto MongoDB, debes:
- Utilice un clúster M10 o mayor.
Tener un rol AWS IAM con privilegios suficientes. Atlas debe tener permiso para realizar las siguientes acciones con su clave:
Nota
Si deseas utilizar la clave de AWS KMS con un rol IAM de AWS de una cuenta de AWS diferente en lugar de la del rol IAM que creó la clave de AWS KMS, asegúrate de tener privilegios suficientes:
Agregue una instrucción de política de clave bajo la clave AWS KMS para incluir la cuenta externa de AWS.
Añade una política en línea de IAM para el rol de IAM en la cuenta externa de AWS.
Para una discusión integral de los roles de IAM y claves maestras del cliente, consulta la documentación de AWS.
Después de confirmar los privilegios indicados, podrá seguir los pasos habituales para configurar los ajustes de KMS en Atlas, con la siguiente excepción:
- Se debe proporcionar el ARN completo para la clave AWS KMS (por ejemplo,
arn:aws:kms:eu-west-2:111122223333:key/12345678-1234-1234-1234-12345678) en lugar del ID de la clave maestra (p. ej.,12345678-1234-1234-1234-12345678) en el campo de ID de clave AWS KMS.
Para aprender a crear un rol IAM, consulta Roles de IAM en la documentación de AWS.
Atlas utiliza la misma función de IAM y la misma configuración de claves AWS KMS para todos los clústeres de un proyecto para el cual está habilitado el cifrado en reposo.
Si su configuración de AWS KMS lo requiere, permita el acceso desde direcciones IP de Atlas y las direcciones IP públicas o nombres de host DNS de sus nodos de clúster para que Atlas pueda comunicarse con su KMS. Debe incluir las direcciones IP en su política de rol de IAM gestionada configurando operadores de condición de dirección IP en su documento de política. Si las direcciones IP del nodo cambian, debe actualizar su configuración para evitar interrupciones de conectividad.
Procedimientos
Habilite el acceso basado en roles para su llave de cifrado en un proyecto
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Haz clic en el enlace Authorize a new IAM role para autorizar un rol IAM de AWS a Atlas para acceder a tus claves KMS de AWS para cifrado en reposo.
Para crear un nuevo rol de AWS IAM para acceder a las claves AWS KMS para cifrado en reposo, se debe seguir el procedimiento Crear un nuevo rol con la CLI de AWS. Si hay un rol de AWS IAM existente que se desea autorizar, se debe seguir el procedimiento Agregar relaciones de confianza a un rol existente.
Agregue una directiva de acceso a su rol de AWS IAM a través de la consola de AWS o la CLI. Consulte la sección "Administración de directivas de IAM" para obtener más información.
Nota
Esta instrucción de política permite que el principal de AWS de MongoDB utilice la clave KMS del cliente para operaciones de cifrado y descifrado. El Atlas Principal no es secreto y se utiliza en todos los clientes de Atlas. Esta es una cuenta de AWS de uso altamente restringido y limitado, sin más recursos que el usuario de IAM. El ExternalId en la instrucción de políticas es único para cada Proyecto Atlas, pero no es secreto. El ExternalId se utiliza para mitigar la posibilidad de vulnerabilidades de cruce de contexto (suplente confundido). Atlas utiliza un principal común para acceder a las claves de todos los clientes, un patrón de acceso recomendado por Amazon, como se describe aquí.
La política de acceso para el cifrado en reposo es similar a la siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:123456789012:key/12x345y6-7z89-0a12-3456-xyz123456789" ] } ] }
Envía una solicitud POST al endpoint cloudProviderAccess.
Usa el API endpoint para crear un nuevo AWS rol IAM. Atlas usará este rol para la autenticación con su cuenta AWS.
Mantén a la mano los valores de los campos devueltos atlasAWSAccountArn y atlasAssumedRoleExternalId para usarlos en el siguiente paso.
Modifica tu política de confianza de rol de AWS IAM.
Inicie sesión en su Consola de gestión de AWS.
Navega al servicio Identity and Access Management (IAM).
Selecciona Roles en la navegación del lado izquierdo.
Haz clic en el rol IAM existente que deseas utilizar para acceder a Atlas desde la lista de roles.
Selecciona la pestaña Trust Relationships.
Haga clic en el botón Edit trust relationship.
Editar el Policy Document. Agrega un objeto
Statementnuevo con el siguiente contenido.Nota
Esta instrucción de política permite que el principal de AWS de MongoDB utilice la clave KMS del cliente para operaciones de cifrado y descifrado. El Atlas Principal no es secreto y se utiliza en todos los clientes de Atlas. Esta es una cuenta de AWS de uso altamente restringido y limitado, sin más recursos que el usuario de IAM. El
ExternalIden la instrucción de políticas es único para cada Proyecto Atlas, pero no es secreto. ElExternalIdse utiliza para mitigar la posibilidad de vulnerabilidades de cruce de contexto (suplente confundido). Atlas utiliza un principal común para acceder a las claves de todos los clientes, un patrón de acceso recomendado por Amazon, como se describe aquí.Nota
Reemplace las líneas destacadas con los valores devueltos de la llamada a la API en el paso 1.
{ "Version": "2020-03-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "<atlasAWSAccountArn>" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "<atlasAssumedRoleExternalId>" } } } ] } Haga clic en el botón Update Trust Policy.
Authorize el rol de IAM recién creado.
Utiliza el API endpoint para autorizar y configurar el nuevo Rol Asumido IAM ARN. Si la llamada a la API es exitosa, puedes usar el valor roleId al configurar los servicios de Atlas que usan AWS.
Habilitar AWS KMS con autorización de rol en el proyecto
Envía una solicitud PATCH al punto final de la API encryptionAtRest para actualizar el campo awsKms.roleId con tu ID autorizado de rol de AWS IAM.
Nota
Este comando curl utiliza un token de acceso de cuenta de servicio (OAuth 2.0) para autenticar en lugar de claves API. Para obtener más información, consulte Introducción a la API de administración de Atlas.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/json" \ --header "Content-Type: application/json" \ --include \ --request PATCH \ "https://cloud.mongodb.com/api/atlas/v1.0/groups/{groupId}/encryptionAtRest?pretty=true&envelope=true" \ --data ' { "awsKms": { "enabled": true, "roleId": "<roleId>", "customerMasterKeyID": "<master-key-id>", "region": "<aws-region>" } }'
Después de activar el acceso basado en rol para la llave de cifrado de su Proyecto, activa las conexiones de endpoint privado para su Proyecto siguiendo Activar y configurar conexiones de endpoint privado para un Proyecto.
Cambie a acceso basado en roles para su llave de cifrado en un Proyecto
AWS requiere el uso de IAM roles en lugar de IAM usuarios para gestionar el acceso a las llaves de cifrado AWS KMS dentro de Atlas. Si inicialmente configuraste tu proyecto para utilizar credenciales de usuario de IAM para acceder a las claves AWS KMS, cambia al acceso basado en roles utilizando el siguiente procedimiento.
Importante
Si cambia tus llaves de cifrado al acceso basado en roles, no podrás deshacer la configuración de acceso basado en roles ni volver al acceso basado en credenciales para las llaves de cifrado en ese proyecto.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Autoriza y asigna un rol de AWS IAM a Atlas para acceder a tus claves de AWS KMS para el cifrado en reposo.
Para crear un nuevo rol de AWS IAM para acceder a las claves AWS KMS para cifrado en reposo, se debe seguir el procedimiento Crear un nuevo rol con la CLI de AWS. Si hay un rol de AWS IAM existente que se desea autorizar, se debe seguir el procedimiento Agregar relaciones de confianza a un rol existente.
Para actualizar la gestión de llave de cifrado con la API de administración de Atlas, utilice los mismos pasos que se indican en el procedimiento anterior.
Habilitar y configurar las conexiones de nodos privados para un Proyecto
Para activar la red privada y configurar un punto de enlace privado en tu AWS KMS, debes hacer lo siguiente:
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Ve a la página Private Endpoints for AWS KMS.
En la página Advanced, en la sección Encryption at Rest using your Key Management, realiza los siguientes pasos:
Expande Network Settings para tu AWS KMS si está colapsado.
Activa el botón junto a Require Private Networking.
Haga clic en Set up.
Se muestra la página Set Up Private Networking for AWS.
Replica tu clave de cifrado en cada región.
Inicia sesión en tu AWS KMS tablero.
En la interfaz de usuario de Atlas, haz clic en Copy para guardar tu identificador de llave maestra de cliente ID.
En su AWS KMS tablero, replique su clave en todas las regiones deseadas. Para obtener más información, consulta la documentación de AWS.
En la Interfaz de Usuario de Atlas, haz clic en Continue
Especifique las regiones de AWS en las que desea crear nodos privados.
Selecciona las regiones de AWS en el menú desplegable.
Haga clic en Continue.
Atlas crea automáticamente nodos privados en estas regiones para permitirle conectarse utilizando redes privadas.
Atlas puede tardar hasta tres minutos en reflejar el estado actual de tu nodo privado. El punto final privado puede tener uno de los siguientes estados:
Activo | Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo. |
Fallido | Indica que la creación del punto final privado falló. |
Habilitar la red privada.
Envía una solicitud PATCH al endpoint encryptionAtRest y configura el valor de la bandera requirePrivateNetworking en true.
Para obtener más información sobre los parámetros requeridos, consulta Actualizar la configuración para el cifrado en reposo utilizando claves administradas por el cliente para un proyecto.
Nota
Este comando curl utiliza un token de acceso de cuenta de servicio (OAuth 2.0) para autenticar en lugar de claves API. Para obtener más información, consulte Introducción a la API de administración de Atlas.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request PATCH "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/" \ --data ' { "awsKms": { "accessKeyID": "019dd98d94b4bb778e7552e4", "customerMasterKeyID": "string", "enabled": true, "region": "US_EAST_1", "roleId": "32b6e34b3d91647abb20e7b8", "secretAccessKey": "string", "requirePrivateNetworking": true } }'
Crea un extremo privado.
Utiliza la API de administración de Atlas para crear nodos privados para comunicarte con tu AWS KMS.
Envía una solicitud POST al encryptionAtRest endpoint con la región AWS en la que deseas que Atlas cree el endpoint privado. Debes enviar una solicitud separada para cada región en la que desees que Atlas cree un nodo privado.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints" \ --data ' { "regionName": "US_EAST_1" }'
Después de crear el nodo privado, se aplican las siguientes restricciones:
Atlas crea todos los nuevos clústeres solo en las regiones con nodos privados aprobados.
Atlas implementa nodos adicionales para los clústeres existentes solo en las regiones con puntos finales privados aprobados.
Consulta el estado de tu solicitud.
Para comprobar el estado del endpoint privado, envíe una solicitud GET al encryptionAtRest endpoint.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints"
{ "links": [ { "href": "https://cloud.mongodb.com/api/atlas", "rel": "self" } ], "results": [ { "cloudProvider": "AWS", "id": "24-hexadecimal-digit-string", "privateEndpointConnectionName": "string", "regionName": "US_EAST_1", "status": "INITIATING", } ], "totalCount": 1 }
Atlas puede tardar hasta tres minutos en reflejar el estado actual de tu nodo privado. El punto final privado puede tener uno de los siguientes estados:
Activo | Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo. |
Fallido | Indica que la creación del punto final privado falló. |
Después de habilitar la administración de claves de cliente para su proyecto y configurar los puntos finales privados, habilite la administración de claves de cliente para cada clúster de Atlas en su proyecto siguiendo las instrucciones de Habilitar la administración de claves de cliente para un clúster de Atlas.
Importante
Si tienes un clúster de AWS de multiregión existente con gestión de claves del cliente activada utilizando una clave de KMS de AWS para una sola región, no puedes activar la Require Private Networking opción. Esta configuración no es compatible.
Activar la gestión de claves de cliente para un clúster de Atlas
Después de habilitar el acceso basado en roles para su clave de cifrado para un proyecto, debe habilitar la administración de claves de cliente para cada clúster de Atlas que contenga datos que desee cifrar.
Nota
Debes tener el rol de Project Owner para permitir la gestión de claves de cliente para el clúster en ese proyecto.
llave maestra de cliente multirregional
Para AWS multiregión llave maestra de cliente, asegúrese de añadir cada ARN de clave regional a la política de claves KMS para que los clústeres de Atlas en esas regiones puedan acceder a ella.
Para los nuevos clústeres, activa la configuración Gestiona tus propias claves de cifrado en Yes al crear el clúster.
Para los clústeres existentes:
En Atlas, ve a la página Clusters de tu proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Clusters en la sección Database.
La página de clústeres se muestra.
Active el cifrado del clúster.
Expande el panel Additional Settings.
Se debe cambiar el ajuste de Manage your own encryption keys a Yes.
Se debe verificar el estado de la configuración de Require Private Networking para el clúster.
Si se configuró el cifrado en reposo mediante la clave maestra del cliente (CMK) (a través de redes privadas) para Atlas a nivel de proyecto, el estado es Active. Si no se configuró ninguna conexión de nodos privados para el proyecto, el estado es Inactive.
Deshabilitar claves administradas por el cliente para un proyecto
Para deshabilitar CMK para un proyecto, primero debe eliminar todos los puntos de conexión privados asociados al proyecto, independientemente de su estado. Atlas mostrará un error si intenta deshabilitar CMK para un proyecto que esté asociado con puntos de conexión privados activos.
Después de remover todos los nodos privados de un Proyecto, debe desactivar la gestión de claves del cliente en cada clúster del Proyecto antes de desactivar la funcionalidad para el Proyecto.
Advertencia
No deshabilite ni borre ninguna clave AWS KMS que algún clúster de su Proyecto Atlas utilice antes de haber deshabilitado la gestión de claves del cliente dentro del Proyecto Atlas. Si Atlas no puede acceder a una clave AWS KMS, cualquier dato que haya sido cifrado con esa clave se volverá inaccesible.
Crear nuevos endpoints para un proyecto
Después de habilitar y configurar las conexiones de nodos privados para tu Proyecto, puedes agregar nodos adicionales en cualquier momento desde la Interfaz de Usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Ve a la página Private Endpoints for AWS KMS.
En la página Advanced, en la sección Encryption at Rest using your Key Management, realiza las siguientes acciones:
Expande Network Settings para tu AWS KMS si está colapsado.
Haga clic en Manage.
La página Private Endpoints for AWS KMS muestra las regiones, el nombre del punto final, el estado de los nodos privados de tus clústeres de Atlas y las acciones que puedes realizar sobre los nodos privados.
Haz clic Create new endpointsen.
Especifique las regiones donde desea crear nodos privados.
Selecciona las regiones de AWS en el menú desplegable.
Haga clic en Continue.
Atlas crea automáticamente nodos privados en estas regiones para permitirle conectarse utilizando redes privadas.
Atlas puede tardar hasta tres minutos en reflejar el estado actual de tu nodo privado. El punto final privado puede tener uno de los siguientes estados:
Activo | Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo. |
Fallido | Indica que la creación del punto final privado falló. |
Crea un extremo privado.
Utiliza la API de administración de Atlas para crear nodos privados para comunicarte con tu AWS KMS.
Envía una solicitud POST al encryptionAtRest endpoint con la región de AWS en la que deseas que Atlas cree el endpoint privado. Debes enviar una solicitud por separado para cada región en la que quieras que Atlas cree un punto de conexión privado.
Nota
Este comando curl utiliza un token de acceso de cuenta de servicio (OAuth 2.0) para autenticar en lugar de claves API. Para obtener más información, consulte Introducción a la API de administración de Atlas.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints" \ --data ' { "regionName": "US_EAST_1" }'
Después de crear el nodo privado, se aplican las siguientes restricciones:
Atlas crea todos los nuevos clústeres solo en las regiones con nodos privados aprobados.
Atlas implementa nodos adicionales para los clústeres existentes solo en las regiones con puntos finales privados aprobados.
Consulta el estado de tu solicitud.
Para comprobar el estado del endpoint privado, envíe una solicitud GET al encryptionAtRest endpoint.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints"
{ "links": [ { "href": "https://cloud.mongodb.com/api/atlas", "rel": "self" } ], "results": [ { "cloudProvider": "AWS", "id": "24-hexadecimal-digit-string", "privateEndpointConnectionName": "string", "regionName": "US_EAST_1", "status": "INITIATING", } ], "totalCount": 1 }
Atlas puede tardar hasta tres minutos en reflejar el estado actual de tu nodo privado. El punto final privado puede tener uno de los siguientes estados:
Activo | Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo. |
Fallido | Indica que la creación del punto final privado falló. |
Rechazar o remover la conexión de endpoint privado
Se pueden remover las conexiones de nodos privados desde la Interfaz de Usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Ve a la página Private Endpoints for Azure Key Vault.
En la página Advanced, en la sección Encryption at Rest using your Key Management, realiza las siguientes acciones:
Expande Network Settings para tu Azure Key Vault si está colapsado.
Haga clic en Manage.
La página Private Endpoints for Azure Key Vault muestra las regiones, el nombre del punto final, el estado de los nodos privados de tus clústeres de Atlas y las acciones que puedes realizar sobre los nodos privados.
Para remover correctamente un endpoint privado, envía una solicitud DELETE a la API de administración de Atlas endpoint y especifica el ID del proyecto y del endpoint privado que deseas borrar. Puedes recuperar el ID del nodo privado que deseas borrar enviando una solicitud GET al API de administración de Atlas Devolver un servicio de nodo privado para un proveedor.
Nota
Este comando curl utiliza un token de acceso de cuenta de servicio (OAuth 2.0) para autenticar en lugar de claves API. Para obtener más información, consulte Introducción a la API de administración de Atlas.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API --header "Content-Type: application/json" \ --include \ --request DELETE "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/ privateEndpoints/{endpointId}" \ --data ' { "cloudProvider": "AWS", "regions": [ "string" ] }'
Cuando utilices la API de administración de Atlas para borrar un punto final privado, el punto final privado pasa al estado DELETING mientras Atlas lo borra.
Si quitas o rechazas un endpoint privado activo desde la Interfaz de Usuario de AWS, Atlas intentará automáticamente recrear un nuevo endpoint privado en la misma región.
Mientras Atlas intenta crear un nuevo endpoint privado, el estado del endpoint privado que rechazaste o eliminaste pasa a PENDING_RECREATION y el nuevo endpoint que Atlas intenta crear está en estado INITIATING. Debes aprobar el nuevo nodo privado después de que se cree.
Ver nodos privados y su estado
Puedes ver los nodos privados en las diferentes regiones y sus estados desde la Interfaz de Usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Ve a la página Private Endpoints for AWS KMS.
En la página Advanced, en la sección Encryption at Rest using your Key Management, realiza las siguientes acciones:
Expande Network Settings para tu AWS KMS si está colapsado.
Haga clic en Manage.
La página Private Endpoints for AWS KMS muestra las regiones, el nombre del punto final, el estado de los nodos privados de tus clústeres de Atlas y las acciones que puedes realizar sobre los nodos privados.
Puedes ver el nodo privado y su estado desde las API de administración de Atlas, enviando una solicitud GET a las API de administración de Atlas encryptionAtRest obtener todo endpoint o obtener uno endpoint, para lo cual debes especificar el ID del nodo privado en la ruta.
Nota
Este comando curl utiliza un token de acceso de cuenta de servicio (OAuth 2.0) para autenticar en lugar de claves API. Para obtener más información, consulte Introducción a la API de administración de Atlas.
Ejemplo
Devolver todos los nodos privados para un proyecto
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API --header "Content-Type: application/json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints/"
Cada nodos privados puede estar en uno de los siguientes estados:
Activo | Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo. |
Fallido | Indica que la creación del punto final privado falló. |
Desactivar conexiones de nodos privados para un Proyecto
Para deshabilitar las conexiones de puntos finales privados de un proyecto, primero debe eliminar todos los puntos finales privados asociados a él, independientemente de su estado. Atlas no deshabilita las conexiones de puntos finales privados de un proyecto si este está asociado a puntos finales privados activos.
Después de remover todos los nodos privados para un Proyecto, puedes inhabilitar las conexiones de nodo privado para el Proyecto utilizando la Interfaz de Usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Para deshabilitar una conexión de nodo privado, envíe una solicitud PATCH al endpoint con el valor de la bandera booleana requirePrivateNetworking establecido en false.
Ejemplo
{ "awsKms": { "accessKeyID": "019dd98d94b4bb778e7552e4", "customerMasterKeyID": "string", "enabled": true, "region": "US_EAST_1", "roleId": "32b6e34b3d91647abb20e7b8", "secretAccessKey": "string" "requirePrivateNetworking": false } }
Temas relacionados
Para habilitar el cifrado en reposo utilizando la gestión de claves al implementar un clúster de Atlas, consulta Administra tus propias llaves de cifrado.
Para activar el cifrado en reposo usando la gestión de claves para un clúster de Atlas existente, consulta Activar el cifrado en reposo.
Para obtener más información sobre el cifrado en reposo utilizando la gestión de claves en Atlas, consulta Cifrado en reposo utilizando la gestión de claves del cliente.
Para obtener más información sobre el cifrado en reposo de MongoDB, consulta Cifrado en reposo en la documentación del servidor de MongoDB.
Para obtener más información sobre el cifrado en reposo con copias de seguridad en la nube, consulta Motor de almacenamiento y cifrado de copias de seguridad en la nube.
Para habilitar la Gestión de clave del cliente para Search Nodes, consulte Habilitar cifrado de datos en Search Nodes.