Nota
Esta característica no está disponible para ninguna de las siguientes implementaciones:
M0Clústeres gratuitosClústeres Flex
Para obtener más información, consulte Límites.
Puede usar una clave administrada por el cliente (CMK) de Azure Key Vault (AKV) para cifrar aún más sus datos en reposo en Atlas. También puede configurar todo el tráfico a su AKV para utilizar Azure Private Link.
Esta página describe cómo usar la API de administración de Atlas para configurar automáticamente Azure Private Link en su AKV para garantizar que todo el tráfico entre Atlas y AKV se realice a través de las interfaces de red privada de Azure.
Considerations
Antes de habilitar el cifrado en reposo mediante AKV en puntos finales privados, revise los siguientes casos de uso, beneficios, limitaciones y requisitos previos.
Caso de uso
Supongamos que su implementación de Atlas se realiza en un único proveedor de servicios en la nube. Ahora, el requisito es que todo el acceso a su AKV se realice a través de la infraestructura de red privada de su proveedor. Esta página le guía por los pasos para habilitar conexiones de endpoints privados para su proyecto Atlas.
Beneficios
Puede usar la API de administración de Atlas para que Atlas configure el cifrado en reposo con AKV mediante puntos de conexión privados. Esto permite que todo el tráfico de AKV pase por un conjunto de puntos de conexión privados y evita que AKV se exponga a la red pública de Internet o a direcciones IP públicas. Elimina la necesidad de mantener las direcciones IP permitidas y mejora la seguridad de los datos al mantener todo el tráfico de AKV dentro de la red privada de Azure.
Limitaciones
Atlas no admite el cifrado en reposo mediante CMK en puntos de conexión privados para implementaciones multinube. Si habilita el cifrado en reposo mediante CMK en Azure Private Link en un proyecto existente con clústeres multinube, Atlas deshabilitará dichos clústeres en su proyecto.
Atlas no admite el cifrado en reposo mediante CMK en puntos finales privados para proyectos en el
INACTIVEestado.Una vez que hayas configura una conexión de punto final privado a tu AKV, no puedes modificarlo Key Vault Name, oSubscription ID Resource Group Name de su AKV, pero aún puede rotar el identificador de clave de Microsoft Azure. Para modificar estos valores, primero debe eliminar todas las conexiones de puntos de conexión privados.
Clústeres multirregionales
Si estás utilizando un clúster multirregional, debes crear un punto de conexión privado para tu AKV en cada región en la que esté implementado tu clúster.
Requisitos previos
Para habilitar claves administradas por el cliente con AKV para un proyecto MongoDB, debe:
Utilice un clúster M10 o mayor.
Tenga la cuenta de Azure y las credenciales de Key Vault, y el identificador de clave para la clave de cifrado en su AKV.
Para la cuenta, debe tener el ID de cliente, el ID de inquilino y el secreto. Para obtener información sobre la opción sin secreto,consulte Administrar claves de cliente con Azure Key Vault (Autenticación sin secreto).
Para el almacén de claves, se debe disponer del ID de suscripción, el nombre del grupo de recursos y el nombre del almacén de claves.
Para obtener información sobre cómo configurar estos componentes de Azure, consulte la documentación de Azure.
Atlas utiliza estos recursos al habilitar el cifrado en reposo para un clúster en el proyecto Atlas.
Si su App registrations usa políticas de acceso condicional, lo cual es poco común, debe permitir solicitudes desde las direcciones IP del plano de control de Atlas y las direcciones IP públicas de los nodos de su clúster para el registro de aplicaciones. Esto se usa solo para el registro de aplicaciones y no para el acceso al almacén de claves.
Nota
Debe registrar Microsoft.Network en sus proveedores de recursos de suscripción de Azure. Para obtener más información,consulte la documentación de Azure.
Procedimientos
Habilitar claves administradas por el cliente para un proyecto
Debe habilitar CMK para un proyecto antes de poder habilitarlo en un clúster de ese proyecto. Puede habilitar CMK para un proyecto desde la interfaz de usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Configure su método de autenticación.
Atlas admite dos métodos de autenticación para AKV:
Entidad de servicio (recomendada): Use una entidad de servicio administrada por Atlas específica para su proyecto para autenticarse en AKV (autenticación sin secreto). Para obtener más información,consulte Administrar claves de cliente con Azure Key Vault (autenticación sin secreto).
Credenciales estáticas: proporcione credenciales administradas por el cliente (tratadas aquí).
Ingrese Account Credentials su.
ID de cliente | Ingrese el Client ID (o) de la aplicación de Azure. Asegúrese de haber asignado el Application ID Active Directory Application acceso necesario a. Para obtener más información, consulte Acceso requerido. |
Identificación del inquilino | Introduzca el Tenant ID (o Directory ID) del inquilino de Active Directory. |
Secreto | Ingrese uno de los secretos de cliente no vencidos de la aplicación asociados con el inquilino de Active Directory. |
Entorno de Azure | Seleccione la nube de Azure en la que reside su inquilino de Active Directory. |
Introduce el Key Vault Credentials.
ID de suscripción | Introduzca el Subscription ID del Key Vault. |
Nombre del grupo de recursos | Introduzca el nombre Resource Group de un Azure Resource Group que contenga el Key Vault. |
Nombre de la bóveda de claves | Introduzca el nombre del almacén de claves. Asegúrese de que cuente con las políticas de acceso necesarias. Para obtener más información,consulte Acceso requerido. |
Nota
No puedes modificar las credenciales de AKV aquí después de habilitar y configurar conexiones de puntos finales privados a tu AKV.
Introduce el Encryption Key.
Identificador de clave | Introduzca la URL completa de la clave creada en Key Vault. IMPORTANTE: El identificador de clave debe proporcionarse en el formato general completo de Azure: NotaPuede añadir |
(Opcional) Configure conexiones de puntos finales privados a su AKV.
Para obtener más información,consulte Habilitar y configurar conexiones de puntos finales privados para un proyecto.
Verifique la configuración de la red.
Si configuró Atlas mediante la API de administración de Atlas para comunicarse con AKV mediante Azure Private Link y garantizar que todo el tráfico entre Atlas y Key Vault se realice a través de las interfaces de red privada de Azure, Atlas establece el Require Private Networking estado Active en. Si el estado Inactive es, puede, opcionalmente, completar los pasos para habilitar y configurar conexiones de punto de conexión privado para un proyecto si desea que Atlas use conexiones de punto de conexión privado para su AKV.
Envía una PATCH solicitud al encryptionAtRest punto final.
Ejemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-05-30+json" \ --header "Content-Type: application/vnd.atlas.2024-05-30+json" \ --request PATCH "https://cloud.mongodb.com/api/atlas/v2/groups/66c9e8f1dd6c9960802420e9/encryptionAtRest" \ --data ' { "azureKeyVault": { "azureEnvironment": "AZURE", "clientID": "b054a9ff-b60a-4cb6-8df6-20726eaefce6", "enabled": true, "keyIdentifier": "https://test-tf-export.vault.azure.net/keys/test/78b9134f9bc94fda8027a32b4715bf3f", "keyVaultName": "test-tf-export", "resourceGroupName": "test-tf-export", "secret": "", "subscriptionID": "009774e0-124f-4a69-83e0-ca8cd8acb4e2", "tenantID": "1f6ef922-9303-402a-bae2-cc68810b023c" } }'
Nota
No puedes modificar las siguientes configuraciones después de habilitar y configurar conexiones de puntos finales privados a tu AKV:
keyVaultNameresourceGroupNamesubscriptionID
Verifique la configuración de cifrado en reposo usando CMK para su proyecto.
Para verificar su solicitud para habilitar y configurar el cifrado en reposo usando las claves que administra mediante AKV, envíe una GET solicitud al punto encryptionAtRest final.
Ejemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-05-30+json" \ --header "Content-Type: application/vnd.atlas.2024-05-30+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest"
{ "azureKeyVault": { "azureEnvironment": "AZURE", "clientID": "632ff709-32a8-48a3-8224-30d2386fadaf", "enabled": true, "keyIdentifier": "https://EXAMPLEKeyVault.vault.azure.net/keys/EXAMPLEKey/d891821e3d364e9eb88fbd3d11807b86", "keyVaultName": "string", "requirePrivateNetworking": false, "resourceGroupName": "string", "subscriptionID": "a39012fb-d604-4cd1-8841-77f705f3e6d5", "tenantID": "ee46317d-36a3-4472-a3dd-6549e901da0b", "valid": true } }
En la respuesta, enabled es true si el proyecto está habilitado correctamente para el cifrado en reposo mediante CMK. Puede configurar una red privada para garantizar que todo el tráfico entre Atlas y Key Vault se realice a través de las interfaces de red privada de Azure. Para obtener más información, consulte Habilitar y configurar conexiones de puntos de conexión privados para un proyecto.
Habilitar y configurar conexiones de puntos finales privados para un proyecto
Puede habilitar y configurar puntos finales privados mediante la interfaz de usuario de Atlas y la API de administración de Atlas. Para habilitar la red privada y configurar un punto final privado en su AKV, siga estos pasos:
Complete los pasos para habilitar las claves administradas por el cliente para su proyecto.
Para obtener más información,consulte Habilitar claves administradas por el cliente para un proyecto.
Especifique las regiones de Azure donde desea crear puntos de conexión privados.
Si su clúster ya tiene habilitado el cifrado en reposo con AKV, Atlas rellena automáticamente las regiones con las regiones de su clúster. De lo contrario, para agregar regiones, siga estos pasos:
Seleccione las regiones de Azure en el menú desplegable.
Importante
Para clústeres multirregionales, debe seleccionar cada región donde está implementado el clúster.
Haga clic en Continue.
Atlas crea automáticamente puntos finales privados en estas regiones para permitirle conectarse mediante redes privadas.
Aprobar los puntos finales privados.
Puede usar la interfaz de usuario de Azure, la CLI o Terraform para aprobar las conexiones de puntos de conexión privados.
Tras la aprobación, Atlas migra automáticamente todos los clústeres para los que habilitó claves administradas por el cliente, incluidos los clústeres existentes que permiten conexiones mediante internet público, para que usen solo la conexión de punto de conexión privado. Opcionalmente, puede deshabilitar el acceso a internet público a su AKV después de migrar los clústeres para que usen la conexión de punto de conexión privado. De forma predeterminada, todos los nuevos clústeres de Atlas en Azure usarán solo la conexión de punto de conexión privado activa. Atlas implementa nodos adicionales para los clústeres existentes solo en las regiones con puntos de conexión privados aprobados.
Tras aprobar el punto final privado, Atlas puede tardar hasta tres minutos en mostrar su estado actual. Para los puntos finales privados de cada región, la Approve Endpoints página muestra el estado de cada uno. Para obtener más información, consulte Ver puntos finales privados y sus estados.
Habilitar redes privadas.
Envíe una PATCH solicitud al punto final y establezca el requirePrivateNetworking valor del indicador true en.
Ejemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2023-01-01+json" \ --header "Content-Type: application/vnd.atlas.2023-01-01+json" \ --include \ --request PATCH "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/" \ --data ' { "azureKeyVault": { "azureEnvironment": "AZURE", "clientID": "632ff709-32a8-48a3-8224-30d2386fadaf", "enabled": true, "keyIdentifier": "https://EXAMPLEKeyVault.vault.azure.net/keys/EXAMPLEKey/d891821e3d364e9eb88fbd3d11807b86", "keyVaultName": "string", "requirePrivateNetworking": true, "resourceGroupName": "string", "secret": "string", "subscriptionID": "a39012fb-d604-4cd1-8841-77f705f3e6d5", "tenantID": "ee46317d-36a3-4472-a3dd-6549e901da0b" } }'
Crear un punto final privado.
Envíe una POST solicitud al punto de conexión con la región de Azure donde desea que Atlas cree el punto de conexión privado. Debe enviar una solicitud independiente para cada región donde desee que Atlas cree un punto de conexión privado.
Importante
Si estás utilizando un clúster multirregional, debes crear un punto de conexión privado para tu AKV en cada región en la que esté implementado tu clúster.
Ejemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2023-01-01+json" \ --header "Content-Type: application/vnd.atlas.2023-01-01+json" \ --include \ --request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints" \ --data ' { "regionName": "US_CENTRAL" }'
Después de aprobar el punto final privado, se aplican las siguientes restricciones:
Atlas crea todos los clústeres nuevos solo en las regiones con puntos finales privados aprobados.
Atlas implementa nodos adicionales para clústeres existentes solo en las regiones con puntos finales privados aprobados.
Apruebe las conexiones de nodos privados a su AKV.
Puede usar la interfaz de usuario de Azure, la CLI o Terraform para aprobar las conexiones de puntos de conexión privados.
Luego de tu aprobación, Atlas migra automáticamente todos los clústeres para los cuales has habilitado claves gestionadas por el cliente, incluidos los clústeres existentes que permiten conexiones mediante Internet pública, para utilizar solo la conexión de nodo privado. Opcionalmente, puede desactivar el acceso público a Internet a su AKV después de migrar sus clústeres para usar la conexión de nodo privado. Todos los nuevos clústeres de Atlas en Azure usarán por defecto solo la conexión de nodo privado activa.
Verifique el estado de su solicitud.
Para comprobar el estado del punto final privado, envíe una GET solicitud al encryptionAtRest punto final.
Ejemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2023-01-01+json" \ --header "Content-Type: application/vnd.atlas.2023-01-01+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints"
{ "links": [ { "href": "https://cloud.mongodb.com/api/atlas", "rel": "self" } ], "results": [ { "cloudProvider": "AZURE", "errorMessage": "string", "id": "24-hexadecimal-digit-string", "regionName": "string", "status": "INITIATING", "privateEndpointConnectionName": "string" } ], "totalCount": 0 }
Tras aprobar el punto final privado, Atlas puede tardar hasta tres minutos en reflejar su estado actual. El punto final privado puede tener uno de los siguientes estados:
INICIANDO | Indica que Atlas está en proceso de crear el punto final privado. |
PENDIENTE_ACEPTACIÓN | Indica que el punto final privado aún no se ha aprobado. Debe aceptarlo para que Atlas pueda usarlo. |
ACTIVO | Indica que el punto final privado está aprobado y Atlas puede o está usándolo. |
RECREACIÓN PENDIENTE | Indica que el punto final privado fue rechazado o eliminado y Atlas está en proceso de crear un nuevo punto final privado en la misma región. |
FALLADO | Indica que falló la creación del punto final privado. |
ELIMINANDO | Indica que Atlas está en proceso de eliminar el punto final privado. |
Después de habilitar el cifrado en reposo mediante CMK (a través de redes privadas) para su proyecto, puede habilitar el cifrado en reposo mediante CMK para cada clúster Atlas en su proyecto.
Activar la gestión de claves de cliente para un clúster de Atlas
Después de habilitar las claves administradas por el cliente para un proyecto, debe habilitar la administración de claves del cliente para cada clúster de Atlas que contenga datos que desee cifrar. Si configuró conexiones de punto final privado para su proyecto de Atlas, Atlas migrará automáticamente todos los clústeres para los que ya haya habilitado claves administradas por el cliente, incluidos los clústeres existentes que permiten conexiones mediante internet público, para que usen solo la conexión de punto final privado.
Nota
Debes tener el rol de Project Owner para permitir la gestión de claves de cliente para el clúster en ese proyecto.
Para los clústeres nuevos, cambie la configuración Administrar sus propias claves de cifrado Yesa, si aún no está habilitada, cuando cree el clúster.
Para los clústeres existentes:
En Atlas, ve a la página Clusters de tu proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Clusters en la sección Database.
La página de clústeres se muestra.
Active el cifrado del clúster.
Expande el panel Additional Settings.
Se debe cambiar el ajuste de Manage your own encryption keys a Yes.
Se debe verificar el estado de la configuración de Require Private Networking para el clúster.
Si configuraste el cifrado en reposo mediante clave maestra del cliente CMK (a través de redes privadas) para Atlas a nivel de proyecto, el estado es Active. Si no se configuró ninguna conexión de nodos privados para el proyecto, el estado es Inactive.
Deshabilitar claves administradas por el cliente para un proyecto
Para deshabilitar CMK en un proyecto, primero debe eliminar todos los endpoints privados asociados a él, independientemente de su estado. Atlas muestra un error si intenta deshabilitar CMK en un proyecto asociado con endpoints privados activos.
Después de eliminar todos los puntos finales privados de un proyecto, debe deshabilitar la administración de claves de cliente en cada clúster del proyecto antes de deshabilitar la función para el proyecto.
Advertencia
No deshabilite ni elimine ninguna clave AKV que utilice ningún clúster de su proyecto Atlas antes de haber deshabilitado la administración de claves de cliente en el proyecto Atlas. Si Atlas no puede acceder a una clave AKV, los datos cifrados por ella se volverán inaccesibles.
Crear nuevos puntos finales para un proyecto
Después de habilitar y configurar conexiones de puntos finales privados para su proyecto, puede agregar puntos finales adicionales en cualquier momento desde la interfaz de usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Vaya a la Private Endpoints for Azure Key Vault página.
En la página Advanced, en la sección Encryption at Rest using your Key Management, realice las siguientes acciones:
Expande Network Settings para tu Azure Key Vault si está contraído.
Haga clic en Manage.
La página Private Endpoints for Azure Key Vault muestra las regiones, el nombre del punto final, el estado de los puntos finales privados para sus clústeres Atlas y las acciones que puede realizar en los puntos finales privados.
Aprobar los puntos finales privados.
Debe aprobar cada punto de conexión de su AKV para usar el punto de conexión privado. Puede usar la interfaz de usuario de Azure, la CLI o Terraform para aprobar las conexiones de puntos de conexión privados.
Para los endpoints privados de cada región, la Approve Endpoints página muestra el estado de cada uno. Tras aprobar el endpoint privado, Atlas puede tardar hasta tres minutos en mostrar su estado actual. Para obtener más información sobre el estado de los endpoints privados, consulte Ver endpoints privados y sus estados.
Crear un punto final privado.
Envíe una POST solicitud al punto de conexión con la región de Azure donde desea que Atlas cree el punto de conexión privado. Debe enviar una solicitud independiente para cada región donde desee que Atlas cree un punto de conexión privado.
Ejemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2023-01-01+json" \ --header "Content-Type: application/vnd.atlas.2023-01-01+json" \ --include \ --request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints" \ --data ' { "regionName": "US_CENTRAL" }'
Apruebe las conexiones de nodos privados a su AKV.
Puede usar la interfaz de usuario de Azure, la CLI o Terraform para aprobar las conexiones de puntos de conexión privados.
Verifique el estado de su solicitud.
Para comprobar el estado del punto final privado, envíe una GET solicitud al encryptionAtRest punto final.
Ejemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2023-01-01+json" \ --header "Content-Type: application/vnd.atlas.2023-01-01+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints"
{ "links": [ { "href": "https://cloud.mongodb.com/api/atlas", "rel": "self" } ], "results": [ { "cloudProvider": "AZURE", "errorMessage": "string", "id": "24-hexadecimal-digit-string", "regionName": "string", "status": "INITIATING", "privateEndpointConnectionName": "string" } ], "totalCount": 0 }
Tras aprobar el punto final privado, Atlas puede tardar hasta tres minutos en reflejar su estado actual. El punto final privado puede tener uno de los siguientes estados:
INICIANDO | Indica que Atlas está en proceso de crear el punto final privado. |
PENDIENTE_ACEPTACIÓN | Indica que el punto final privado aún no se ha aprobado. Debe aceptarlo para que Atlas pueda usarlo. |
ACTIVO | Indica que el punto final privado está aprobado y Atlas puede o está usándolo. |
RECREACIÓN PENDIENTE | Indica que el punto final privado fue rechazado o eliminado y Atlas está en proceso de crear un nuevo punto final privado en la misma región. |
FALLADO | Indica que falló la creación del punto final privado. |
ELIMINANDO | Indica que Atlas está en proceso de eliminar el punto final privado. |
Rechazar o eliminar la conexión de punto final privado
Se pueden remover las conexiones de nodos privados desde la Interfaz de Usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Vaya a la Private Endpoints for Azure Key Vault página.
En la página Advanced, en la sección Encryption at Rest using your Key Management, realice las siguientes acciones:
Expande Network Settings para tu Azure Key Vault si está contraído.
Haga clic en Manage.
La página Private Endpoints for Azure Key Vault muestra las regiones, el nombre del punto final, el estado de los puntos finales privados para sus clústeres Atlas y las acciones que puede realizar en los puntos finales privados.
Para eliminar un punto final privado, envíe una solicitud al DELETE punto final de la API de Administración de Atlas y especifique el ID del proyecto y del punto final privado que desea eliminar. Puede recuperar el ID del punto final privado que desea eliminar enviando una GET solicitud al servicio "Devolver un punto final privado para un proveedor" de la API de Administración de Atlas.
Ejemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API --header "Content-Type: application/json" \ --include \ --request DELETE "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints/{endpointId}" \ --data ' { "cloudProvider": "AZURE", "regions": [ "string" ] }'
Cuando borras un nodo privado, el nodo privado pasa al estado DELETING mientras Atlas borra el nodo privado.
Si elimina o rechaza un punto de conexión privado activo de la interfaz de usuario de Azure, Atlas intentará recrear automáticamente uno nuevo en la misma región. Puede comprobar el estado del punto de conexión privado desde la interfaz de usuario de Atlas y la API de administración de Atlas. Para obtener más información, consulte Ver puntos de conexión privados y sus estados.
Mientras Atlas intenta crear un nuevo punto final privado, el estado del punto final privado que rechazó o eliminó cambia a PENDING_RECREATION y el nuevo punto final que Atlas intenta crear tiene el estado INITIATING. Debe aprobar el nuevo punto final privado después de crearlo.
Ver puntos finales privados y sus estados
Puede ver los puntos finales privados en las distintas regiones y sus estados desde la interfaz de usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Vaya a la Private Endpoints for Azure Key Vault página.
En la página Advanced, en la sección Encryption at Rest using your Key Management, realice las siguientes acciones:
Expande Network Settings para tu Azure Key Vault si está contraído.
Haga clic en Manage.
La página Private Endpoints for Azure Key Vault muestra las regiones, el nombre del punto final, el estado de los puntos finales privados para sus clústeres Atlas y las acciones que puede realizar en los puntos finales privados.
Cada punto final privado puede estar en uno de los siguientes estados:
PENDIENTE DE APROBACIÓN | Indica que el punto final privado aún no se ha aprobado. Debe aceptarlo para que Atlas pueda usarlo. |
ACTIVO | Indica que el punto final privado está aprobado y Atlas puede o está usándolo. |
FALLADO | Indica que falló la creación del punto final privado. |
Puede ver el punto final privado y sus estados desde la API de administración de Atlas enviando una GET solicitud a la API de administración de Atlas encryptionAtRest para obtener todos los puntos finales o para obtener un punto final, para lo cual debe especificar el ID del punto final privado en la ruta.
Ejemplo
Devolver todos los puntos finales privados para un proyecto
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API --header "Content-Type: application/json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints/"
Cada punto final privado puede estar en uno de los siguientes estados:
INICIANDO | Indica que Atlas está en proceso de crear el punto final privado. |
PENDIENTE_ACEPTACIÓN | Indica que el punto final privado aún no se ha aprobado. Debe aceptarlo para que Atlas pueda usarlo. |
ACTIVO | Indica que el punto final privado está aprobado y Atlas puede o está usándolo. |
RECREACIÓN PENDIENTE | Indica que el punto final privado fue rechazado o eliminado y Atlas está en proceso de crear un nuevo punto final privado en la misma región. |
FALLADO | Indica que falló la creación del punto final privado. |
ELIMINANDO | Indica que Atlas está en proceso de eliminar el punto final privado. |
Deshabilitar conexiones de puntos finales privados para un proyecto
Para deshabilitar las conexiones de puntos de conexión privados de un proyecto, primero debe eliminar todos los puntos de conexión privados asociados al proyecto, independientemente de su estado. Atlas no deshabilita las conexiones de puntos de conexión privados de un proyecto si este está asociado con puntos de conexión privados activos.
Después de eliminar todos los puntos finales privados de un proyecto, puede deshabilitar las conexiones de puntos finales privados para el proyecto mediante la interfaz de usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Para deshabilitar una conexión de punto final privado, envíe una PATCH solicitud al punto final con el requirePrivateNetworking valor de indicador booleano establecido false en.
Ejemplo
{ "azureKeyVault": { "azureEnvironment": "AZURE", "clientID": "632ff709-32a8-48a3-8224-30d2386fadaf", "enabled": true, "keyIdentifier": "https://EXAMPLEKeyVault.vault.azure.net/keys/EXAMPLEKey/d891821e3d364e9eb88fbd3d11807b86", "keyVaultName": "string", "requirePrivateNetworking": false, "resourceGroupName": "string", "secret": "string", "subscriptionID": "a39012fb-d604-4cd1-8841-77f705f3e6d5", "tenantID": "ee46317d-36a3-4472-a3dd-6549e901da0b" } }
Revocar el acceso a una clave de cifrado
Puede revocar el acceso de Atlas a una clave de cifrado desde AKV para congelar sus datos. Atlas pausa automáticamente sus clústeres cuando revoca el acceso a la clave de cifrado.
Rota tu identificador de clave de Azure
Nota
Esta característica no está disponible para ninguna de las siguientes implementaciones:
M0Clústeres gratuitosClústeres Flex
Para obtener más información, consulta Límites.
Antes de comenzar, aprenda Sobre la rotación de su identificador de clave de Azure.
Debe crear una nueva clave en el AKV asociado a su proyecto Atlas. El siguiente procedimiento describe cómo rotar el identificador de clave de su proyecto Atlas especificando un nuevo identificador de clave en Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Haga clic Edit en.
Actualice las credenciales de Azure.
Haga clic en Azure Key Vault si el selector Azure Key Vault aún no está activo.
Haga clic en Encryption Key si el selector Encryption Key aún no está activo.
Ingrese el identificador de clave de Azure en el campo Key Identifier.
Incluya la URL completa del nuevo identificador de clave de cifrado. Por ejemplo:
https://mykeyvault.vault.azure.net/keys/AtlasKMSKey/a241124e3d364e9eb99fbd3e11124b23 Importante
La clave de cifrado debe pertenecer al almacén de claves configurado para el proyecto. Haga clic en la Key Vault sección para ver el almacén de claves configurado actualmente para el proyecto.
Haga clic en Update Credentials.
Atlas muestra un banner en la interfaz de usuario durante el proceso de rotación del identificador de clave. No elimine ni desactive el identificador de clave original hasta que se hayan implementado los cambios.
Si el clúster usa Realizar copia de seguridad de su clúster,no elimine ni deshabilite el Identificador de clave original hasta que valide que ninguna instantánea haya usado esa clave para el cifrado.
Temas relacionados
Para habilitar el cifrado en reposo mediante su administración de claves al implementar un clúster Atlas, consulte Administrar sus propias claves de cifrado.
Para habilitar el cifrado en reposo mediante la administración de claves para un clúster Atlas existente, consulte Habilitar el cifrado en reposo.
Para obtener más información sobre el cifrado en reposo utilizando la gestión de claves en Atlas, consulta Cifrado en reposo utilizando la gestión de claves del cliente.
Para obtener más información sobre el cifrado en reposo de MongoDB, consulte Cifrado en reposo en la documentación del servidor MongoDB.
Para obtener más información sobre el cifrado en reposo con copias de seguridad en la nube, consulte Motor de almacenamiento y cifrado de copias de seguridad en la nube.
Para habilitar la administración de claves de cliente para los nodos de búsqueda,consulte Habilitar el cifrado de datos del nodo de búsqueda.