Para agentes de IA: hay un índice de documentación disponible en https://www.mongodb.com/es/docs/llms.txt — versiones en markdown de todas las páginas están disponibles agregando .md a cualquier ruta URL.
Docs Menu

Gestione las claves de cliente con Azure Key Vault a través de nodos privados

Nota

Esta característica no está disponible para ninguna de las siguientes implementaciones:

  • Clústeres gratuitos

  • Clústeres Flex

Para obtener más información, consulta Límites.

Puedes usar una clave administrada por el cliente (CMK) de Azure Key Vault (AKV) para cifrar aún más tus datos en reposo en Atlas. También puede configurar que todo el tráfico hacia su AKV utilice Azure Private Link.

Nota

El Modelo de Responsabilidad Compartida de MongoDB Atlas define los deberes complementarios de MongoDB y sus clientes en el mantenimiento de un entorno de datos seguro y resiliente. Bajo este marco, MongoDB gestiona la seguridad y la integridad operativa de la plataforma subyacente, mientras que los clientes son responsables de la configuración, gestión y políticas de datos de sus implementaciones específicas. Para obtener un desglose detallado de la propiedad en materia de seguridad y excelencia operativa, consulta el Modelo de Responsabilidad Compartida.

Esta página describe cómo usar la API de administración de Atlas para configurar automáticamente Azure Private Link en tu AKV para garantizar que todo el tráfico entre Atlas y AKV tenga lugar a través de las interfaces de red privadas de Azure.

Antes de habilitar el cifrado en reposo mediante AKV sobre endpoints privados, revisa los siguientes casos de uso, beneficios, limitaciones y requisitos previos.

Supón que tu implementación de Atlas está en un único proveedor de servicios en la nube. Ahora tienes el requisito de que todo el acceso a tu AKV se realice a través de la infraestructura de red privada de tu proveedor de nube. Esta página te guía a través de los pasos para habilitar conexiones de nodos privados para tu Proyecto Atlas.

Puedes utilizar la API de administración de Atlas para permitir que Atlas configure el cifrado en reposo con AKV utilizando nodos privados. Esto permite que todo el tráfico a AKV pase a través de un conjunto de nodos privados y evite exponer AKV a internet público o a direcciones IP públicas. Elimina la necesidad de mantener direcciones IP permitidas y mejora la seguridad de los datos al mantener todo el tráfico de AKV dentro de la red privada de Azure.

  • Atlas no admite el cifrado en reposo mediante llave maestra de cliente sobre nodos privados para implementaciones multi-nube. Si habilitas el cifrado en reposo utilizando llave maestra de cliente sobre Azure Private Link en un proyecto existente con clusters multi-nube, Atlas desactiva los clusters multi-nube en tu proyecto.

  • Atlas no admite el cifrado en reposo usando llave maestra de cliente a través de nodos privados para proyectos en el estado INACTIVE.

  • Una vez que hayas configurado una conexión de punto de conexión privado en tu AKV, no puedes modificar el Key Vault Name, Subscription ID ni el Resource Group Name de tu AKV, pero igualmente puedes rotar el identificador de clave de Microsoft Azure. Para modificar estos valores, primero debes remover todas las conexiones de nodos privados.

Si está utilizando un clúster multirregional, debe crear un punto de conexión privado para su AKV en cada región donde se implemente su clúster.

Para habilitar llaves gestionadas por el cliente con AKV para un proyecto de MongoDB, debes:

  • Utilice un clúster M10 o mayor.
  • Tenga la cuenta de Azure y las credenciales de Key Vault, y el identificador de clave para la clave de cifrado en su AKV.

    • Para la cuenta, debe tener el ID de cliente, el ID de inquilino y el secreto. Para aprender sobre una opción sin secretos, consulte Autenticación sin secretos de Azure Key Vault.

    • Para el almacén de claves, se debe disponer del ID de suscripción, el nombre del grupo de recursos y el nombre del almacén de claves.

    Para aprender cómo configurar estos componentes de Azure, consulta la Documentación de Azure.

    Atlas utiliza estos recursos al habilitar el cifrado en reposo para un clúster en el proyecto Atlas.

Nota

Debe registrar Microsoft.Network con sus proveedores de recursos de suscripción de Azure. Para obtener más información, consulte Documentación de Azure.

Debes habilitar llave maestra de cliente para un proyecto antes de poder habilitarlo en un clúster dentro de ese proyecto. Puedes habilitar llave maestra de cliente para un proyecto desde la Interfaz de Usuario de Atlas y la API de Administración de Atlas.

1
  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

  4. En la barra lateral, haga clic en Advanced.

    La página Avanzada se muestra.

2
3
4

Atlas admite dos métodos de autenticación para AKV:

  • Principal de servicio (recomendado): Use un principal de servicio gestionado por Atlas específico de su proyecto para autenticarse en AKV (autenticación sin secretos). Para obtener más información, consulte Autenticación sin secretos de Azure Key Vault.

  • Credenciales Estáticas: Proporcionar credenciales gestionadas por el cliente (cubiertas aquí).

5

ID de cliente

Introduce el Client ID (o Application ID) de la aplicación de Azure. Asegúrese de que ha asignado al Active Directory Application el acceso necesario. Para obtener más información, consulta Acceso Requerido.

ID de arrendatario

Introduce el Tenant ID (o Directory ID) del directorio de Active Directory.

Secreto

Introduce uno de los secretos de cliente no vencidos de la aplicación asociados con el tenant de Active Directory.

Entorno de Azure

Selecciona la nube de Azure donde residen tus inquilinos de Active Directory.

6

ID de suscripción

Introduce el Subscription ID del Key Vault.

Nombre del grupo de recursos

Ingrese el Resource Group nombre de un Azure Resource Group que contenga el Key Vault.

Nombre del Key Vault

Introduzca el nombre de Key Vault. Asegúrese de que el Key Vault tenga las políticas de acceso necesarias. Para obtener más información, consulta Acceso requerido.

Nota

No puedes modificar las credenciales AKV aquí después de habilitar y configurar conexiones de nodos privados a tu AKV.

7

Identificador clave

Introduce la dirección URL completa para la clave creada en Key Vault.

IMPORTANTE: El identificador de clave debe proporcionarse en el Azure general formato completo:

https://{keyvault-name}.vault.azure.net/{object-type}/{object-name}

Puedes agregar /{object-version}. Sin embargo, recomendamos omitir la versión para permitir la resolución automática a la versión más reciente.

8

Para obtener más información, consulta Habilitar y configurar las conexiones de Endpoint privado para su proyecto

9

Si configuró Atlas usando la API de administración de Atlas para comunicarse con AKV usando Azure Private Link para garantizar que todo el tráfico entre Atlas y Key Vault se realice a través de las interfaces de red privadas de Azure, Atlas establece el estado de Require Private Networking en Active. Si el estado es Inactive, usted puede, opcionalmente, completar los pasos para Habilitar y Configure conexiones de nodos privados para un Proyecto si desea que Atlas use conexiones de nodos privados para su AKV.

10

Atlas muestra un banner en la consola de Atlas durante el proceso de cifrado.

1

Nota

Este comando curl utiliza un token de acceso de cuenta de servicio (OAuth 2.0) para autenticar en lugar de claves API. Para obtener más información, consulte Introducción a la API de administración de Atlas.

Ejemplo

curl --header "Authorization: Bearer {ACCESS-TOKEN}" \
--header "Accept: application/vnd.atlas.2024-05-30+json" \
--header "Content-Type: application/vnd.atlas.2024-05-30+json" \
--request PATCH "https://cloud.mongodb.com/api/atlas/v2/groups/66c9e8f1dd6c9960802420e9/encryptionAtRest" \
--data '
{
"azureKeyVault": {
"azureEnvironment": "AZURE",
"clientID": "b054a9ff-b60a-4cb6-8df6-20726eaefce6",
"enabled": true,
"keyIdentifier": "https://test-tf-export.vault.azure.net/keys/test/78b9134f9bc94fda8027a32b4715bf3f",
"keyVaultName": "test-tf-export",
"resourceGroupName": "test-tf-export",
"secret": "",
"subscriptionID": "009774e0-124f-4a69-83e0-ca8cd8acb4e2",
"tenantID": "1f6ef922-9303-402a-bae2-cc68810b023c"
}
}'

Nota

No puedes modificar la siguiente configuración después de habilitar y establecer conexiones de nodos privados a tu AKV:

  • keyVaultName

  • resourceGroupName

  • subscriptionID

2

Para verificar tu solicitud de habilitar y configurar el cifrado en reposo utilizando las claves que gestionas con AKV, envía una solicitud GET al encryptionAtRest endpoint.

Ejemplo

curl --header "Authorization: Bearer {ACCESS-TOKEN}" \
--header "Accept: application/vnd.atlas.2024-05-30+json" \
--header "Content-Type: application/vnd.atlas.2024-05-30+json" \
--include \
--request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest"
{
"azureKeyVault": {
"azureEnvironment": "AZURE",
"clientID": "632ff709-32a8-48a3-8224-30d2386fadaf",
"enabled": true,
"keyIdentifier": "https://EXAMPLEKeyVault.vault.azure.net/keys/EXAMPLEKey/d891821e3d364e9eb88fbd3d11807b86",
"keyVaultName": "string",
"requirePrivateNetworking": false,
"resourceGroupName": "string",
"subscriptionID": "a39012fb-d604-4cd1-8841-77f705f3e6d5",
"tenantID": "ee46317d-36a3-4472-a3dd-6549e901da0b",
"valid": true
}
}

En la respuesta, enabled es true si tu proyecto se habilita correctamente para Cifrado en reposo utilizando llave maestra de cliente. Puedes configurar redes privadas para garantizar que todo el tráfico entre Atlas y Key Vault tenga lugar a través de las interfaces de red privadas de Azure. Para obtener más información, consulta Habilitar y configurar conexiones de nodos privados para un proyecto.

Puede habilitar y configurar nodos privados utilizando la Interfaz de Usuario de Atlas y la API de Administración de Atlas. Para habilitar la red privada y configurar un nodo privado en tu AKV, debes hacer lo siguiente:

1

Para obtener más información, consulte Habilitar claves gestionadas por el cliente para un proyecto.

2
  1. Activa o desactiva Require Private Networking para habilitar las conexiones de nodos privados.

  2. Haga clic en Save.

3

Se muestra la página Set Up Private Networking for Azure.

4

Si tu clúster ya está habilitado para el cifrado en reposo con AKV, Atlas pobla automáticamente las regiones con tus regiones de clúster. De lo contrario, para agregar regiones, haga lo siguiente:

  1. Selecciona las regiones Azure del menú desplegable.

    Importante

    Para los clústeres multirregionales, debe seleccionar cada región donde se implementa el clúster.

  2. Haga clic en Continue.

    Atlas crea automáticamente nodos privados en estas regiones para permitirle conectarse utilizando redes privadas.

5

Puedes usar la Azure Interfaz de Usuario, la CLI o Terraform para aprobar las conexiones de extremo privado.

Después de que lo apruebes, Atlas migra automáticamente todos los clusters para los que habilitaste las claves gestionadas por el cliente, incluidos los clusters existentes que permiten conexiones usando internet público, para que utilicen únicamente la conexión con nodo privado. Opcionalmente, puedes desactivar el acceso público a Internet a tu AKV después de migrar tus clústeres para utilizar la conexión de punto final privado. Todos los nuevos clústeres Atlas en Azure usarán por defecto solo la conexión activa de nodos privados. Atlas implementa nodos adicionales para clústeres existentes solo en las regiones con nodos privados aprobados.

Después de aprobar el nodo privado, Atlas puede tardar hasta tres minutos en reflejar el estado actual de su nodo privado. Para los nodos privados en cada región, la página Approve Endpoints muestra el estado de cada nodo privado. Para obtener más información, consulta Ver nodos privados y sus estados.

6
1

Envía una solicitud PATCH al endpoint y establece el valor del flag requirePrivateNetworking en true.

Nota

Este comando curl utiliza un token de acceso de cuenta de servicio (OAuth 2.0) para autenticar en lugar de claves API. Para obtener más información, consulte Introducción a la API de administración de Atlas.

Ejemplo

curl --header "Authorization: Bearer {ACCESS-TOKEN}" \
--header "Accept: application/vnd.atlas.2023-01-01+json" \
--header "Content-Type: application/vnd.atlas.2023-01-01+json" \
--include \
--request PATCH "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/" \
--data '
{
"azureKeyVault": {
"azureEnvironment": "AZURE",
"clientID": "632ff709-32a8-48a3-8224-30d2386fadaf",
"enabled": true,
"keyIdentifier": "https://EXAMPLEKeyVault.vault.azure.net/keys/EXAMPLEKey/d891821e3d364e9eb88fbd3d11807b86",
"keyVaultName": "string",
"requirePrivateNetworking": true,
"resourceGroupName": "string",
"secret": "string",
"subscriptionID": "a39012fb-d604-4cd1-8841-77f705f3e6d5",
"tenantID": "ee46317d-36a3-4472-a3dd-6549e901da0b"
}
}'
2

Envíe una solicitud POST al endpoint con la región Azure en la que desea que Atlas cree el endpoint privado. Debe enviar una solicitud independiente para cada región en la que desea que Atlas cree un nodo privado.

Importante

Si está utilizando un clúster multirregional, debe crear un punto de conexión privado para su AKV en cada región donde se implemente su clúster.

Ejemplo

curl --header "Authorization: Bearer {ACCESS-TOKEN}" \
--header "Accept: application/vnd.atlas.2023-01-01+json" \
--header "Content-Type: application/vnd.atlas.2023-01-01+json" \
--include \
--request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints" \
--data '
{
"regionName": "US_CENTRAL"
}'

Después de que apruebes el punto de enlace privado, se aplican las siguientes restricciones:

  • Atlas crea todos los nuevos clústeres solo en las regiones con nodos privados aprobados.

  • Atlas implementa nodos adicionales para los clústeres existentes solo en las regiones con puntos finales privados aprobados.

3

Puedes usar la Azure Interfaz de Usuario, la CLI o Terraform para aprobar las conexiones de extremo privado.

Después de que apruebes, Atlas migra automáticamente todos los clústeres para los que habilitaste claves administradas por el cliente, incluidos los clústeres existentes que permiten conexiones mediante internet público, para que utilicen únicamente la conexión de nodos privados. Opcionalmente, puedes desactivar el acceso a internet público a tu AKV después de migrar tus clústeres para que utilicen la conexión de nodo privado. Todos los nuevos clústeres de Atlas en Azure utilizarán de forma predeterminada únicamente la conexión activa de nodos privados.

4

Para comprobar el estado del endpoint privado, envíe una solicitud GET al encryptionAtRest endpoint.

Ejemplo

curl --header "Authorization: Bearer {ACCESS-TOKEN}" \
--header "Accept: application/vnd.atlas.2023-01-01+json" \
--header "Content-Type: application/vnd.atlas.2023-01-01+json" \
--include \
--request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints"
{
"links": [
{
"href": "https://cloud.mongodb.com/api/atlas",
"rel": "self"
}
],
"results": [
{
"cloudProvider": "AZURE",
"errorMessage": "string",
"id": "24-hexadecimal-digit-string",
"regionName": "string",
"status": "INITIATING",
"privateEndpointConnectionName": "string"
}
],
"totalCount": 0
}

Después de aprobar el nodo privado, Atlas puede tardar hasta tres minutos en reflejar el estado actual de su nodo privado. El endpoint privado puede tener uno de los siguientes estados:

INICIANDO

Indica que Atlas está en el proceso de crear el endpoint privado.

PENDIENTE_ACEPTACIÓN

Indica que el nodo privado aún no ha sido aprobado. Debe aceptar el endpoint privado para permitir que Atlas lo use.

Activo

Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo.

PENDIENTE DE RECREACIÓN

Indica que el punto final privado fue rechazado o eliminado, y Atlas está en proceso de crear un nuevo punto final privado en la misma región.

Fallido

Indica que la creación del punto final privado falló.

Borrando

Indica que Atlas está en proceso de borrar el endpoint privado.

Después de habilitar el cifrado en reposo utilizando llave maestra de cliente (a través de la red privada) para su Proyecto, puede permitir el cifrado en reposo utilizando llave maestra de cliente para cada clúster Atlas de su Proyecto.

Después de habilitar las claves administradas por el cliente para un proyecto, se debe habilitar la gestión de claves del cliente para cada clúster de Atlas que contenga la información que se desea cifrar. Si configuró conexiones de nodos privados para su Proyecto de Atlas, Atlas migra automáticamente todos los clústeres para los cuales ya activó las claves gestionadas por el cliente, incluidos los clústeres existentes que permiten conexiones utilizando Internet pública, para utilizar únicamente la conexión de nodo privado.

Nota

Debes tener el rol de Project Owner para permitir la gestión de claves de cliente para el clúster en ese proyecto.

Para los nuevos clústeres, active la configuración Gestiona tus propias llaves de cifrado en Yes, si aún no está activada, al crear el clúster.

Para los clústeres existentes:

1
  1. Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.

  2. Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Clusters en la sección Database.

La página de clústeres se muestra.

2

Para el clúster que contiene los datos que deseas cifrar, haz clic en la , y, a continuación, selecciona Edit Configuration.

3
  1. Expande el panel Additional Settings.

  2. Se debe cambiar el ajuste de Manage your own encryption keys a Yes.

  3. Se debe verificar el estado de la configuración de Require Private Networking para el clúster.

    Si se configuró el cifrado en reposo mediante la clave maestra del cliente (CMK) (a través de redes privadas) para Atlas a nivel de proyecto, el estado es Active. Si no se configuró ninguna conexión de nodos privados para el proyecto, el estado es Inactive.

4
  1. Haga clic en Review Changes.

  2. Se deben revisar los cambios y luego se debe hacer clic en Apply Changes para actualizar el clúster.

Para deshabilitar la CMK para un proyecto, primero debes remover todos los nodos privados asociados con el proyecto, independientemente de su estado. Atlas muestra un error si intentas deshabilitar la llave maestra de cliente para un Proyecto asociado a nodos privados activos.

Después de remover todos los nodos privados de un Proyecto, debe deshabilitar la gestión de claves de clientes en cada clúster del Proyecto antes de deshabilitar la funcionalidad para el Proyecto.

Advertencia

No desactives ni borres ninguna clave de AKV que cualquier clúster en tu Proyecto Atlas esté usando antes de que hayas desactivado la gestión de claves del cliente en el Proyecto Atlas. Si Atlas no puede acceder a una clave AKV, cualquier dato cifrado por esa clave será inaccesible.

Después de habilitar y configurar las conexiones de endpoint privado para tu proyecto, puedes agregar endpoints adicionales en cualquier momento desde la Interfaz de Usuario de Atlas y la API de administración de Atlas.

1
  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

  4. En la barra lateral, haga clic en Advanced.

    La página Avanzada se muestra.

2

En la página Advanced, en la sección Encryption at Rest using your Key Management, realiza las siguientes acciones:

  1. Expande Network Settings para tu Azure Key Vault si está colapsado.

  2. Haga clic en Manage.

    La página Private Endpoints for Azure Key Vault muestra las regiones, el nombre del punto final, el estado de los nodos privados de tus clústeres de Atlas y las acciones que puedes realizar sobre los nodos privados.

3
4
  1. Seleccione las regiones del menú desplegable.

  2. Haga clic en Continue.

    Atlas crea automáticamente nodos privados en estas regiones para permitirle conectarse utilizando redes privadas.

5

Debe aprobar cada endpoint en su AKV para usar el nodo privado. Puedes usar la Interfaz de Usuario de Azure, CLI o Terraform para aprobar las conexiones de nodos privados.

Para los nodos privados en cada región, la página Approve Endpoints muestra el estado de cada nodo privado. Después de aprobar el nodo privado, Atlas puede tardar hasta tres minutos en reflejar el estado actual de tu nodo privado. Para obtener más información sobre los estados del nodo privado, consulta Ver nodos privados y sus estados.

6
1

Envíe una solicitud POST al endpoint con la región Azure en la que desea que Atlas cree el endpoint privado. Debe enviar una solicitud independiente para cada región en la que desea que Atlas cree un nodo privado.

Nota

Este comando curl utiliza un token de acceso de cuenta de servicio (OAuth 2.0) para autenticar en lugar de claves API. Para obtener más información, consulte Introducción a la API de administración de Atlas.

Ejemplo

curl --header "Authorization: Bearer {ACCESS-TOKEN}" \
--header "Accept: application/vnd.atlas.2023-01-01+json" \
--header "Content-Type: application/vnd.atlas.2023-01-01+json" \
--include \
--request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints" \
--data '
{
"regionName": "US_CENTRAL"
}'
2

Puedes usar la Azure Interfaz de Usuario, la CLI o Terraform para aprobar las conexiones de extremo privado.

3

Para comprobar el estado del endpoint privado, envíe una solicitud GET al encryptionAtRest endpoint.

Ejemplo

curl --header "Authorization: Bearer {ACCESS-TOKEN}" \
--header "Accept: application/vnd.atlas.2023-01-01+json" \
--header "Content-Type: application/vnd.atlas.2023-01-01+json" \
--include \
--request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints"
{
"links": [
{
"href": "https://cloud.mongodb.com/api/atlas",
"rel": "self"
}
],
"results": [
{
"cloudProvider": "AZURE",
"errorMessage": "string",
"id": "24-hexadecimal-digit-string",
"regionName": "string",
"status": "INITIATING",
"privateEndpointConnectionName": "string"
}
],
"totalCount": 0
}

Después de aprobar el nodo privado, Atlas puede tardar hasta tres minutos en reflejar el estado actual de su nodo privado. El endpoint privado puede tener uno de los siguientes estados:

INICIANDO

Indica que Atlas está en el proceso de crear el endpoint privado.

PENDIENTE_ACEPTACIÓN

Indica que el nodo privado aún no ha sido aprobado. Debe aceptar el endpoint privado para permitir que Atlas lo use.

Activo

Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo.

PENDIENTE DE RECREACIÓN

Indica que el punto final privado fue rechazado o eliminado, y Atlas está en proceso de crear un nuevo punto final privado en la misma región.

Fallido

Indica que la creación del punto final privado falló.

Borrando

Indica que Atlas está en proceso de borrar el endpoint privado.

Se pueden remover las conexiones de nodos privados desde la Interfaz de Usuario de Atlas y la API de administración de Atlas.

1
  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

  4. En la barra lateral, haga clic en Advanced.

    La página Avanzada se muestra.

2

En la página Advanced, en la sección Encryption at Rest using your Key Management, realiza las siguientes acciones:

  1. Expande Network Settings para tu Azure Key Vault si está colapsado.

  2. Haga clic en Manage.

    La página Private Endpoints for Azure Key Vault muestra las regiones, el nombre del punto final, el estado de los nodos privados de tus clústeres de Atlas y las acciones que puedes realizar sobre los nodos privados.

3
  1. Haga clic en el icono en la columna Actions del endpoint privado que desea remover.

  2. Haz clic en Delete para confirmar la eliminación del endpoint privado.

Para remover un nodo privado, envíe una solicitud DELETE a la API de administración de Atlas endpoint y especifique la ID del Proyecto y del nodo privado que desea borrar. Puedes recuperar el ID del nodo privado que deseas borrar enviando una solicitud GET al API de administración de Atlas Devolver un servicio de nodo privado para un proveedor.

Nota

Este comando curl utiliza un token de acceso de cuenta de servicio (OAuth 2.0) para autenticar en lugar de claves API. Para obtener más información, consulte Introducción a la API de administración de Atlas.

Ejemplo

curl --header "Authorization: Bearer {ACCESS-TOKEN}" \
--header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API
--header "Content-Type: application/json" \
--include \
--request DELETE "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints/{endpointId}" \
--data '
{
"cloudProvider": "AZURE",
"regions": [
"string"
]
}'

Cuando borras un nodo privado, el nodo privado pasa al estado DELETING mientras Atlas borra el nodo privado.

Si remueves o rechazas un nodo privado activo en la Interfaz de Usuario de Azure, Atlas intentará automáticamente recrear un nuevo nodo privado en la misma región. Puedes comprobar el estado de los nodos privados desde la Interfaz de Usuario y la Atlas Administration API. Para obtener más información, consulta Ver los nodos privados y sus Estados.

Mientras Atlas intenta crear un nuevo endpoint privado, el estado del endpoint privado que rechazaste o eliminaste pasa a PENDING_RECREATION y el nuevo endpoint que Atlas intenta crear está en estado INITIATING. Debes aprobar el nuevo nodo privado después de que se cree.

Puedes ver los nodos privados en las diferentes regiones y sus estados desde la Interfaz de Usuario de Atlas y la API de administración de Atlas.

1
  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

  4. En la barra lateral, haga clic en Advanced.

    La página Avanzada se muestra.

2

En la página Advanced, en la sección Encryption at Rest using your Key Management, realiza las siguientes acciones:

  1. Expande Network Settings para tu Azure Key Vault si está colapsado.

  2. Haga clic en Manage.

    La página Private Endpoints for Azure Key Vault muestra las regiones, el nombre del punto final, el estado de los nodos privados de tus clústeres de Atlas y las acciones que puedes realizar sobre los nodos privados.

Cada nodos privados puede estar en uno de los siguientes estados:

PENDIENTE DE APROBACIÓN

Indica que el nodo privado aún no ha sido aprobado. Debe aceptar el endpoint privado para permitir que Atlas lo use.

Activo

Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo.

Fallido

Indica que la creación del punto final privado falló.

Puedes ver el nodo privado y su estado desde las API de administración de Atlas, enviando una solicitud GET a las API de administración de Atlas encryptionAtRest obtener todo endpoint o obtener uno endpoint, para lo cual debes especificar el ID del nodo privado en la ruta.

Nota

Este comando curl utiliza un token de acceso de cuenta de servicio (OAuth 2.0) para autenticar en lugar de claves API. Para obtener más información, consulte Introducción a la API de administración de Atlas.

Ejemplo

Devolver todos los nodos privados para un proyecto

curl --header "Authorization: Bearer {ACCESS-TOKEN}" \
--header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API
--header "Content-Type: application/json" \
--include \
--request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints/"

Cada nodos privados puede estar en uno de los siguientes estados:

INICIANDO

Indica que Atlas está en el proceso de crear el endpoint privado.

PENDIENTE_ACEPTACIÓN

Indica que el nodo privado aún no ha sido aprobado. Debe aceptar el endpoint privado para permitir que Atlas lo use.

Activo

Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo.

PENDIENTE DE RECREACIÓN

Indica que el punto final privado fue rechazado o eliminado, y Atlas está en proceso de crear un nuevo punto final privado en la misma región.

Fallido

Indica que la creación del punto final privado falló.

Borrando

Indica que Atlas está en proceso de borrar el endpoint privado.

Para deshabilitar las conexiones de nodos privados para un proyecto, primero debes remover todos los nodos privados asociados con el proyecto, sin importar su estado. Atlas no desactiva las conexiones de nodos privados de un proyecto si el proyecto está asociado a nodos privados activos.

Después de remover todos los nodos privados para un Proyecto, puedes deshabilitar las conexiones de nodos privados para el Proyecto utilizando la Interfaz de Usuario de Atlas y la API de administración de Atlas.

1
  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

  4. En la barra lateral, haga clic en Advanced.

    La página Avanzada se muestra.

2
  1. En Encryption at Rest using your Key Management, selecciona Azure Key Vault.

  2. Debajo de Network Settings, alterna el botón junto a Require Private Networking a Off.

  3. Haga clic en Save.

Para deshabilitar una conexión de nodo privado, envíe una solicitud PATCH al endpoint con el valor de la bandera booleana requirePrivateNetworking establecido en false.

Ejemplo

{
"azureKeyVault": {
"azureEnvironment": "AZURE",
"clientID": "632ff709-32a8-48a3-8224-30d2386fadaf",
"enabled": true,
"keyIdentifier": "https://EXAMPLEKeyVault.vault.azure.net/keys/EXAMPLEKey/d891821e3d364e9eb88fbd3d11807b86",
"keyVaultName": "string",
"requirePrivateNetworking": false,
"resourceGroupName": "string",
"secret": "string",
"subscriptionID": "a39012fb-d604-4cd1-8841-77f705f3e6d5",
"tenantID": "ee46317d-36a3-4472-a3dd-6549e901da0b"
}
}

Puedes revocar el acceso de Atlas a una llave de cifrado desde dentro de AKV para congelar tus datos. Atlas pausa automáticamente tus clústeres cuando revocas el acceso a la llave de cifrado.

Nota

Esta característica no está disponible para ninguna de las siguientes implementaciones:

  • Clústeres gratuitos

  • Clústeres Flex

Para obtener más información, consulta Límites.

Antes de comenzar, aprenda Sobre la rotación de su identificador de clave de Azure.

Debes crear una nueva clave en la AKV asociada a tu proyecto Atlas. El siguiente procedimiento documenta cómo rotar el Identificador de clave de su proyecto Atlas especificando un nuevo identificador de clave en Atlas.

1
  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

  4. En la barra lateral, haga clic en Advanced.

    La página Avanzada se muestra.

2
3
  1. Haz clic en Azure Key Vault si el selector Azure Key Vault aún no está activo.

  2. Haz clic en Encryption Key si el selector Encryption Key aún no está activo.

  3. Introduzca el Identificador de clave de Azure en el campo Key Identifier.

    Incluye la URL completa del nuevo identificador de clave de cifrado. Por ejemplo:

    https://mykeyvault.vault.azure.net/keys/AtlasKMSKey/a241124e3d364e9eb99fbd3e11124b23

    Importante

    La clave de cifrado debe pertenecer a Key Vault configurada para el proyecto. Haz clic en la sección Key Vault para ver el Key Vault actualmente configurado para el proyecto.

  4. Haga clic en Update Credentials.

Atlas muestra un cartel en la interfaz de usuario de Atlas durante el proceso de rotación del Identificador de clave. No debe borrar ni deshabilitar el Identificador de clave original hasta que se hayan implementado los cambios.

Si el clúster usa Respaldar tu Clúster, no borres ni inhabilites el Identificador de Clave original hasta que valides que ninguna snapshot usó esa clave para cifrar.