Nota
Esta característica no está disponible para ninguna de las siguientes implementaciones:
Clústeres gratuitos
Clústeres Flex
Para obtener más información, consulta Límites.
Puedes usar una clave administrada por el cliente (CMK) de Azure Key Vault (AKV) para cifrar aún más tus datos en reposo en Atlas. También puede configurar que todo el tráfico hacia su AKV utilice Azure Private Link.
Nota
El Modelo de Responsabilidad Compartida de MongoDB Atlas define los deberes complementarios de MongoDB y sus clientes en el mantenimiento de un entorno de datos seguro y resiliente. Bajo este marco, MongoDB gestiona la seguridad y la integridad operativa de la plataforma subyacente, mientras que los clientes son responsables de la configuración, gestión y políticas de datos de sus implementaciones específicas. Para obtener un desglose detallado de la propiedad en materia de seguridad y excelencia operativa, consulta el Modelo de Responsabilidad Compartida.
Esta página describe cómo usar la API de administración de Atlas para configurar automáticamente Azure Private Link en tu AKV para garantizar que todo el tráfico entre Atlas y AKV tenga lugar a través de las interfaces de red privadas de Azure.
Considerations
Antes de habilitar el cifrado en reposo mediante AKV sobre endpoints privados, revisa los siguientes casos de uso, beneficios, limitaciones y requisitos previos.
Caso de uso
Supón que tu implementación de Atlas está en un único proveedor de servicios en la nube. Ahora tienes el requisito de que todo el acceso a tu AKV se realice a través de la infraestructura de red privada de tu proveedor de nube. Esta página te guía a través de los pasos para habilitar conexiones de nodos privados para tu Proyecto Atlas.
Beneficios
Puedes utilizar la API de administración de Atlas para permitir que Atlas configure el cifrado en reposo con AKV utilizando nodos privados. Esto permite que todo el tráfico a AKV pase a través de un conjunto de nodos privados y evite exponer AKV a internet público o a direcciones IP públicas. Elimina la necesidad de mantener direcciones IP permitidas y mejora la seguridad de los datos al mantener todo el tráfico de AKV dentro de la red privada de Azure.
Limitaciones
Atlas no admite el cifrado en reposo mediante llave maestra de cliente sobre nodos privados para implementaciones multi-nube. Si habilitas el cifrado en reposo utilizando llave maestra de cliente sobre Azure Private Link en un proyecto existente con clusters multi-nube, Atlas desactiva los clusters multi-nube en tu proyecto.
Atlas no admite el cifrado en reposo usando llave maestra de cliente a través de nodos privados para proyectos en el estado
INACTIVE.Una vez que configures una conexión de punto final privado a tu AKV, no podrás modificar el Key Vault Name, Subscription ID ni el Resource Group Name de tu AKV, pero aún puedes rotar el identificador de clave de Microsoft Azure. Para modificar estos valores, primero debe remover todas las conexiones de nodos privados.
clúster multiregional
Si está utilizando un clúster multirregional, debe crear un punto de conexión privado para su AKV en cada región donde se implemente su clúster.
Requisitos previos
Para habilitar llaves gestionadas por el cliente con AKV para un proyecto de MongoDB, debes:
- Utilice un clúster M10 o mayor.
Tenga la cuenta de Azure y las credenciales de Key Vault, y el identificador de clave para la clave de cifrado en su AKV.
Para la cuenta, debes tener el ID de cliente, ID de inquilino y secreto. Para obtener información sobre una opción sin secretos, consulta Gestiona las claves de los clientes con Azure Key Vault (Autenticación sin secretos).
Para el almacén de claves, se debe disponer del ID de suscripción, el nombre del grupo de recursos y el nombre del almacén de claves.
Para aprender cómo configurar estos componentes de Azure, consulta la Documentación de Azure.
Atlas utiliza estos recursos al habilitar el cifrado en reposo para un clúster en el proyecto Atlas.
- Si su App registrations utiliza políticas de acceso condicional, lo cual es poco común, debe permitir solicitudes desde las direcciones IP del plano de control de Atlas y las direcciones IP públicas de los nodos de su clúster para el registro de la aplicación. Esto es solo para el registro de la aplicación y no se utiliza para el acceso al key vault.
Nota
Debe registrar Microsoft.Network con sus proveedores de recursos de suscripción de Azure. Para obtener más información, consulte Documentación de Azure.
Procedimientos
Habilita claves gestionadas por el cliente para un proyecto
Debes habilitar llave maestra de cliente para un proyecto antes de poder habilitarlo en un clúster dentro de ese proyecto. Puedes habilitar llave maestra de cliente para un proyecto desde la Interfaz de Usuario de Atlas y la API de Administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Configura tu método de autenticación.
Atlas admite dos métodos de autenticación para AKV:
Principal de servicio (recomendado): utiliza un principal de servicio gestionado por Atlas específico para tu proyecto para autenticarse en AKV (autenticación sin secretos). Para obtener más información, consulte Administrar Claves de cliente con Azure Key Vault (autenticación sin secretos).
Credenciales Estáticas: Proporcionar credenciales gestionadas por el cliente (cubiertas aquí).
Ingrese Account Credentials su.
ID de cliente | Introduce el Client ID (o Application ID) de la aplicación de Azure. Asegúrese de que ha asignado al Active Directory Application el acceso necesario. Para obtener más información, consulta Acceso Requerido. |
ID de arrendatario | Introduce el Tenant ID (o Directory ID) del directorio de Active Directory. |
Secreto | Introduce uno de los secretos de cliente no vencidos de la aplicación asociados con el tenant de Active Directory. |
Entorno de Azure | Selecciona la nube de Azure donde residen tus inquilinos de Active Directory. |
Introduce el Key Vault Credentials.
ID de suscripción | Introduce el Subscription ID del Key Vault. |
Nombre del grupo de recursos | Ingrese el Resource Group nombre de un Azure Resource Group que contenga el Key Vault. |
Nombre del Key Vault | Introduzca el nombre de Key Vault. Asegúrese de que el Key Vault tenga las políticas de acceso necesarias. Para obtener más información, consulta Acceso requerido. |
Nota
No puedes modificar las credenciales de AKV aquí después de habilitar y configurar las conexiones de nodos privados a tu AKV.
Introduce el Encryption Key.
Identificador clave | Introduce la dirección URL completa para la clave creada en Key Vault. IMPORTANTE: El identificador de clave debe proporcionarse en el Azure general formato completo: Puedes agregar |
(Opcional) Configure conexiones de nodos privados a su AKV.
Para aprender más, consulta Habilitar y configurar conexiones de nodos privados para un Proyecto
Verifica la configuración de red.
Si configuró Atlas usando la API de administración de Atlas para comunicarse con AKV usando Azure Private Link para garantizar que todo el tráfico entre Atlas y Key Vault se realice a través de las interfaces de red privadas de Azure, Atlas establece el estado de Require Private Networking en Active. Si el estado es Inactive, puedes, opcionalmente, completar los pasos para Habilitar y configurar conexiones de nodos privados para un Proyecto si deseas que Atlas use conexiones de nodos privados para tu AKV.
Haz clic Saveen.
Atlas muestra un banner en la consola de Atlas durante el proceso de cifrado.
Envía una solicitud PATCH al endpoint encryptionAtRest.
Nota
Este comando curl utiliza un token de acceso de cuenta de servicio (OAuth 2.0) para autenticar en lugar de claves API. Para obtener más información, consulte Introducción a la API de administración de Atlas.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-05-30+json" \ --header "Content-Type: application/vnd.atlas.2024-05-30+json" \ --request PATCH "https://cloud.mongodb.com/api/atlas/v2/groups/66c9e8f1dd6c9960802420e9/encryptionAtRest" \ --data ' { "azureKeyVault": { "azureEnvironment": "AZURE", "clientID": "b054a9ff-b60a-4cb6-8df6-20726eaefce6", "enabled": true, "keyIdentifier": "https://test-tf-export.vault.azure.net/keys/test/78b9134f9bc94fda8027a32b4715bf3f", "keyVaultName": "test-tf-export", "resourceGroupName": "test-tf-export", "secret": "", "subscriptionID": "009774e0-124f-4a69-83e0-ca8cd8acb4e2", "tenantID": "1f6ef922-9303-402a-bae2-cc68810b023c" } }'
Nota
No puede modificar la siguiente configuración después de que habilite y configure conexiones de nodos privados para su AKV:
keyVaultNameresourceGroupNamesubscriptionID
Verifica la configuración para el cifrado en reposo usando llave maestra de cliente para tu proyecto.
Para verificar tu solicitud de habilitar y configurar el cifrado en reposo utilizando las claves que gestionas con AKV, envía una solicitud GET al encryptionAtRest endpoint.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-05-30+json" \ --header "Content-Type: application/vnd.atlas.2024-05-30+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest"
{ "azureKeyVault": { "azureEnvironment": "AZURE", "clientID": "632ff709-32a8-48a3-8224-30d2386fadaf", "enabled": true, "keyIdentifier": "https://EXAMPLEKeyVault.vault.azure.net/keys/EXAMPLEKey/d891821e3d364e9eb88fbd3d11807b86", "keyVaultName": "string", "requirePrivateNetworking": false, "resourceGroupName": "string", "subscriptionID": "a39012fb-d604-4cd1-8841-77f705f3e6d5", "tenantID": "ee46317d-36a3-4472-a3dd-6549e901da0b", "valid": true } }
En la respuesta, enabled es true si tu proyecto se habilita correctamente para el cifrado en reposo usando la llave maestra de cliente. Puedes configurar la red privada para asegurarte de que todo el tráfico entre Atlas y Key Vault se realice a través de las interfaces de red privadas de Azure. Para obtener más información, consulta Habilitar y configurar conexiones de nodos privados para un Proyecto.
Habilitar y configurar las conexiones de nodos privados para un Proyecto
Puede habilitar y configurar nodos privados utilizando la Interfaz de Usuario de Atlas y la API de Administración de Atlas. Para habilitar la red privada y configurar un nodo privado en tu AKV, debes hacer lo siguiente:
Completa los pasos para habilitar las claves administradas por el cliente (Customer-Managed Keys) para tu proyecto.
Para aprender más, visita Habilita claves gestionadas por el cliente para un Proyecto.
Especifica las regiones de Azure donde deseas crear nodos privados.
Si tu clúster ya está habilitado para el cifrado en reposo con AKV, Atlas pobla automáticamente las regiones con tus regiones de clúster. De lo contrario, para agregar regiones, haga lo siguiente:
Selecciona las regiones Azure del menú desplegable.
Importante
Para los clústeres multirregionales, debe seleccionar cada región donde se implementa el clúster.
Haga clic en Continue.
Atlas crea automáticamente nodos privados en estas regiones para permitirle conectarse utilizando redes privadas.
Aprobar los nodos privados.
Puedes usar la Azure Interfaz de Usuario, la CLI o Terraform para aprobar las conexiones de extremo privado.
Tras su aprobación, Atlas migra automáticamente todos los clústeres para los que haya habilitado claves administradas por el cliente, incluidos los clústeres existentes que permiten conexiones a través de internet pública, para que utilicen únicamente la conexión de punto de conexión privado. Opcionalmente, puede deshabilitar el acceso a internet pública a su AKV después de migrar sus clústeres para que utilicen la conexión de punto de conexión privado. Todos los nuevos clústeres de Atlas en Azure utilizarán, de forma predeterminada, únicamente la conexión de punto de conexión privado activa. Atlas implementa nodos adicionales para los clústeres existentes solo en las regiones con puntos de conexión privados aprobados.
Tras aprobar el punto de conexión privado, Atlas puede tardar hasta tres minutos en actualizar su estado. Para los puntos de conexión privados de cada región, la Approve Endpoints página muestra su estado. Para obtener más información, consulte la sección «Ver puntos de conexión privados y su estado».
Habilitar la red privada.
Envía una solicitud PATCH al endpoint y establece el valor del flag requirePrivateNetworking en true.
Nota
Este comando curl utiliza un token de acceso de cuenta de servicio (OAuth 2.0) para autenticar en lugar de claves API. Para obtener más información, consulte Introducción a la API de administración de Atlas.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2023-01-01+json" \ --header "Content-Type: application/vnd.atlas.2023-01-01+json" \ --include \ --request PATCH "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/" \ --data ' { "azureKeyVault": { "azureEnvironment": "AZURE", "clientID": "632ff709-32a8-48a3-8224-30d2386fadaf", "enabled": true, "keyIdentifier": "https://EXAMPLEKeyVault.vault.azure.net/keys/EXAMPLEKey/d891821e3d364e9eb88fbd3d11807b86", "keyVaultName": "string", "requirePrivateNetworking": true, "resourceGroupName": "string", "secret": "string", "subscriptionID": "a39012fb-d604-4cd1-8841-77f705f3e6d5", "tenantID": "ee46317d-36a3-4472-a3dd-6549e901da0b" } }'
Crea un extremo privado.
Envíe una solicitud POST al endpoint con la región Azure en la que desea que Atlas cree el endpoint privado. Debe enviar una solicitud independiente para cada región en la que desea que Atlas cree un nodo privado.
Importante
Si está utilizando un clúster multirregional, debe crear un punto de conexión privado para su AKV en cada región donde se implemente su clúster.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2023-01-01+json" \ --header "Content-Type: application/vnd.atlas.2023-01-01+json" \ --include \ --request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints" \ --data ' { "regionName": "US_CENTRAL" }'
Después de que apruebes el punto de enlace privado, se aplican las siguientes restricciones:
Atlas crea todos los nuevos clústeres solo en las regiones con nodos privados aprobados.
Atlas implementa nodos adicionales para los clústeres existentes solo en las regiones con puntos finales privados aprobados.
Aprobar las conexiones de nodos privados a tu AKV.
Puedes usar la Azure Interfaz de Usuario, la CLI o Terraform para aprobar las conexiones de extremo privado.
Tras su aprobación, Atlas migra automáticamente todos los clústeres para los que haya habilitado claves administradas por el cliente, incluidos los clústeres existentes que permiten conexiones a través de internet pública, para que utilicen únicamente la conexión de punto final privado. Opcionalmente, puede deshabilitar el acceso a internet pública a su AKV después de migrar sus clústeres para que utilicen la conexión de punto final privado. Todos los nuevos clústeres de Atlas en Azure utilizarán, de forma predeterminada, únicamente la conexión de punto final privado activa.
Consulta el estado de tu solicitud.
Para comprobar el estado del endpoint privado, envíe una solicitud GET al encryptionAtRest endpoint.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2023-01-01+json" \ --header "Content-Type: application/vnd.atlas.2023-01-01+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints"
{ "links": [ { "href": "https://cloud.mongodb.com/api/atlas", "rel": "self" } ], "results": [ { "cloudProvider": "AZURE", "errorMessage": "string", "id": "24-hexadecimal-digit-string", "regionName": "string", "status": "INITIATING", "privateEndpointConnectionName": "string" } ], "totalCount": 0 }
Después de aprobar el nodo privado, Atlas puede tardar hasta tres minutos en reflejar el estado actual de su nodo privado. El endpoint privado puede tener uno de los siguientes estados:
INICIANDO | Indica que Atlas está en el proceso de crear el endpoint privado. |
PENDIENTE_ACEPTACIÓN | Indica que el nodo privado aún no ha sido aprobado. Debe aceptar el endpoint privado para permitir que Atlas lo use. |
Activo | Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo. |
PENDIENTE DE RECREACIÓN | Indica que el punto final privado fue rechazado o eliminado, y Atlas está en proceso de crear un nuevo punto final privado en la misma región. |
Fallido | Indica que la creación del punto final privado falló. |
Borrando | Indica que Atlas está en proceso de borrar el endpoint privado. |
Después de habilitar el cifrado en reposo mediante CMK (a través de redes privadas) para su proyecto, puede habilitar el cifrado en reposo mediante CMK para cada clúster de Atlas en su proyecto.
Activar la gestión de claves de cliente para un clúster de Atlas
Después de habilitar las claves administradas por el cliente para un proyecto, debe habilitar la administración de claves del cliente para cada clúster de Atlas que contenga datos que desee cifrar. Si configuró conexiones de punto final privadas para su proyecto de Atlas, Atlas migrará automáticamente todos los clústeres para los que ya ha habilitado las claves administradas por el cliente, incluidos los clústeres existentes que permiten conexiones a través de Internet pública, para que utilicen únicamente la conexión de punto final privada.
Nota
Debes tener el rol de Project Owner para permitir la gestión de claves de cliente para el clúster en ese proyecto.
Para los nuevos clústeres, active la configuración Gestiona tus propias llaves de cifrado en Yes, si aún no está activada, al crear el clúster.
Para los clústeres existentes:
En Atlas, ve a la página Clusters de tu proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Clusters en la sección Database.
La página de clústeres se muestra.
Active el cifrado del clúster.
Expande el panel Additional Settings.
Se debe cambiar el ajuste de Manage your own encryption keys a Yes.
Se debe verificar el estado de la configuración de Require Private Networking para el clúster.
Si se configuró el cifrado en reposo mediante la clave maestra del cliente (CMK) (a través de redes privadas) para Atlas a nivel de proyecto, el estado es Active. Si no se configuró ninguna conexión de nodos privados para el proyecto, el estado es Inactive.
Deshabilitar claves administradas por el cliente para un proyecto
Para deshabilitar CMK para un proyecto, primero debe eliminar todos los puntos de conexión privados asociados al proyecto, independientemente de su estado. Atlas mostrará un error si intenta deshabilitar CMK para un proyecto que esté asociado con puntos de conexión privados activos.
Después de remover todos los nodos privados de un Proyecto, debe deshabilitar la gestión de claves de clientes en cada clúster del Proyecto antes de deshabilitar la funcionalidad para el Proyecto.
Advertencia
No desactives ni borres ninguna clave de AKV que cualquier clúster en tu Proyecto Atlas esté usando antes de que hayas desactivado la gestión de claves del cliente en el Proyecto Atlas. Si Atlas no puede acceder a una clave AKV, cualquier dato cifrado por esa clave será inaccesible.
Crear nuevos endpoints para un proyecto
Después de habilitar y configurar las conexiones de endpoint privado para tu proyecto, puedes agregar endpoints adicionales en cualquier momento desde la Interfaz de Usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Ve a la página Private Endpoints for Azure Key Vault.
En la página Advanced, en la sección Encryption at Rest using your Key Management, realiza las siguientes acciones:
Expande Network Settings para tu Azure Key Vault si está colapsado.
Haga clic en Manage.
La página Private Endpoints for Azure Key Vault muestra las regiones, el nombre del punto final, el estado de los nodos privados de tus clústeres de Atlas y las acciones que puedes realizar sobre los nodos privados.
Haz clic Create new endpointsen.
Aprobar los nodos privados.
Debe aprobar cada endpoint en su AKV para usar el nodo privado. Puedes usar la Interfaz de Usuario de Azure, CLI o Terraform para aprobar las conexiones de nodos privados.
Para los puntos de conexión privados en cada región, la Approve Endpoints página muestra el estado de cada uno. Después de aprobar un punto de conexión privado, Atlas puede tardar hasta tres minutos en actualizar su estado. Para obtener más información sobre el estado de los puntos de conexión privados, consulte la sección «Ver puntos de conexión privados y su estado».
Crea un extremo privado.
Envíe una solicitud POST al endpoint con la región Azure en la que desea que Atlas cree el endpoint privado. Debe enviar una solicitud independiente para cada región en la que desea que Atlas cree un nodo privado.
Nota
Este comando curl utiliza un token de acceso de cuenta de servicio (OAuth 2.0) para autenticar en lugar de claves API. Para obtener más información, consulte Introducción a la API de administración de Atlas.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2023-01-01+json" \ --header "Content-Type: application/vnd.atlas.2023-01-01+json" \ --include \ --request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints" \ --data ' { "regionName": "US_CENTRAL" }'
Aprobar las conexiones de nodos privados a tu AKV.
Puedes usar la Azure Interfaz de Usuario, la CLI o Terraform para aprobar las conexiones de extremo privado.
Consulta el estado de tu solicitud.
Para comprobar el estado del endpoint privado, envíe una solicitud GET al encryptionAtRest endpoint.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2023-01-01+json" \ --header "Content-Type: application/vnd.atlas.2023-01-01+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints"
{ "links": [ { "href": "https://cloud.mongodb.com/api/atlas", "rel": "self" } ], "results": [ { "cloudProvider": "AZURE", "errorMessage": "string", "id": "24-hexadecimal-digit-string", "regionName": "string", "status": "INITIATING", "privateEndpointConnectionName": "string" } ], "totalCount": 0 }
Después de aprobar el nodo privado, Atlas puede tardar hasta tres minutos en reflejar el estado actual de su nodo privado. El endpoint privado puede tener uno de los siguientes estados:
INICIANDO | Indica que Atlas está en el proceso de crear el endpoint privado. |
PENDIENTE_ACEPTACIÓN | Indica que el nodo privado aún no ha sido aprobado. Debe aceptar el endpoint privado para permitir que Atlas lo use. |
Activo | Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo. |
PENDIENTE DE RECREACIÓN | Indica que el punto final privado fue rechazado o eliminado, y Atlas está en proceso de crear un nuevo punto final privado en la misma región. |
Fallido | Indica que la creación del punto final privado falló. |
Borrando | Indica que Atlas está en proceso de borrar el endpoint privado. |
Rechazar o remover la conexión de endpoint privado
Se pueden remover las conexiones de nodos privados desde la Interfaz de Usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Ve a la página Private Endpoints for Azure Key Vault.
En la página Advanced, en la sección Encryption at Rest using your Key Management, realiza las siguientes acciones:
Expande Network Settings para tu Azure Key Vault si está colapsado.
Haga clic en Manage.
La página Private Endpoints for Azure Key Vault muestra las regiones, el nombre del punto final, el estado de los nodos privados de tus clústeres de Atlas y las acciones que puedes realizar sobre los nodos privados.
Para remover un nodo privado, envíe una solicitud DELETE a la API de administración de Atlas endpoint y especifique la ID del Proyecto y del nodo privado que desea borrar. Puedes recuperar el ID del nodo privado que deseas borrar enviando una solicitud GET al API de administración de Atlas Devolver un servicio de nodo privado para un proveedor.
Nota
Este comando curl utiliza un token de acceso de cuenta de servicio (OAuth 2.0) para autenticar en lugar de claves API. Para obtener más información, consulte Introducción a la API de administración de Atlas.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API --header "Content-Type: application/json" \ --include \ --request DELETE "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints/{endpointId}" \ --data ' { "cloudProvider": "AZURE", "regions": [ "string" ] }'
Cuando borras un nodo privado, el nodo privado pasa al estado DELETING mientras Atlas borra el nodo privado.
Si elimina o rechaza un punto de conexión privado activo desde la interfaz de usuario de Azure, Atlas intentará recrear automáticamente un nuevo punto de conexión privado en la misma región. Puede comprobar el estado del punto de conexión privado desde la interfaz de usuario de Atlas y la API de administración de Atlas. Para obtener más información, consulte Ver puntos de conexión privados y sus estados.
Mientras Atlas intenta crear un nuevo endpoint privado, el estado del endpoint privado que rechazaste o eliminaste pasa a PENDING_RECREATION y el nuevo endpoint que Atlas intenta crear está en estado INITIATING. Debes aprobar el nuevo nodo privado después de que se cree.
Ver nodos privados y su estado
Puedes ver los nodos privados en las diferentes regiones y sus estados desde la Interfaz de Usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Ve a la página Private Endpoints for Azure Key Vault.
En la página Advanced, en la sección Encryption at Rest using your Key Management, realiza las siguientes acciones:
Expande Network Settings para tu Azure Key Vault si está colapsado.
Haga clic en Manage.
La página Private Endpoints for Azure Key Vault muestra las regiones, el nombre del punto final, el estado de los nodos privados de tus clústeres de Atlas y las acciones que puedes realizar sobre los nodos privados.
Cada nodos privados puede estar en uno de los siguientes estados:
PENDIENTE DE APROBACIÓN | Indica que el nodo privado aún no ha sido aprobado. Debe aceptar el endpoint privado para permitir que Atlas lo use. |
Activo | Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo. |
Fallido | Indica que la creación del punto final privado falló. |
Puedes ver el nodo privado y su estado desde las API de administración de Atlas, enviando una solicitud GET a las API de administración de Atlas encryptionAtRest obtener todo endpoint o obtener uno endpoint, para lo cual debes especificar el ID del nodo privado en la ruta.
Nota
Este comando curl utiliza un token de acceso de cuenta de servicio (OAuth 2.0) para autenticar en lugar de claves API. Para obtener más información, consulte Introducción a la API de administración de Atlas.
Ejemplo
Devolver todos los nodos privados para un proyecto
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API --header "Content-Type: application/json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints/"
Cada nodos privados puede estar en uno de los siguientes estados:
INICIANDO | Indica que Atlas está en el proceso de crear el endpoint privado. |
PENDIENTE_ACEPTACIÓN | Indica que el nodo privado aún no ha sido aprobado. Debe aceptar el endpoint privado para permitir que Atlas lo use. |
Activo | Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo. |
PENDIENTE DE RECREACIÓN | Indica que el punto final privado fue rechazado o eliminado, y Atlas está en proceso de crear un nuevo punto final privado en la misma región. |
Fallido | Indica que la creación del punto final privado falló. |
Borrando | Indica que Atlas está en proceso de borrar el endpoint privado. |
Desactivar conexiones de nodos privados para un Proyecto
Para deshabilitar las conexiones de puntos finales privados de un proyecto, primero debe eliminar todos los puntos finales privados asociados a él, independientemente de su estado. Atlas no deshabilita las conexiones de puntos finales privados de un proyecto si este está asociado a puntos finales privados activos.
Después de remover todos los nodos privados para un Proyecto, puedes deshabilitar las conexiones de nodos privados para el Proyecto utilizando la Interfaz de Usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Para deshabilitar una conexión de nodo privado, envíe una solicitud PATCH al endpoint con el valor de la bandera booleana requirePrivateNetworking establecido en false.
Ejemplo
{ "azureKeyVault": { "azureEnvironment": "AZURE", "clientID": "632ff709-32a8-48a3-8224-30d2386fadaf", "enabled": true, "keyIdentifier": "https://EXAMPLEKeyVault.vault.azure.net/keys/EXAMPLEKey/d891821e3d364e9eb88fbd3d11807b86", "keyVaultName": "string", "requirePrivateNetworking": false, "resourceGroupName": "string", "secret": "string", "subscriptionID": "a39012fb-d604-4cd1-8841-77f705f3e6d5", "tenantID": "ee46317d-36a3-4472-a3dd-6549e901da0b" } }
Revocar acceso a una llave de cifrado
Puedes revocar el acceso de Atlas a una llave de cifrado desde dentro de AKV para congelar tus datos. Atlas pausa automáticamente tus clústeres cuando revocas el acceso a la llave de cifrado.
Rota tu identificador de clave de Azure
Nota
Esta característica no está disponible para ninguna de las siguientes implementaciones:
Clústeres gratuitos
Clústeres Flex
Para obtener más información, consulta Límites.
Antes de comenzar, aprenda Sobre la rotación de su identificador de clave de Azure.
Debes crear una nueva clave en la AKV asociada a tu proyecto Atlas. El siguiente procedimiento documenta cómo rotar el Identificador de clave de su proyecto Atlas especificando un nuevo identificador de clave en Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Actualice las credenciales de Azure.
Haz clic en Azure Key Vault si el selector Azure Key Vault aún no está activo.
Haz clic en Encryption Key si el selector Encryption Key aún no está activo.
Introduzca el Identificador de clave de Azure en el campo Key Identifier.
Incluye la URL completa del nuevo identificador de clave de cifrado. Por ejemplo:
https://mykeyvault.vault.azure.net/keys/AtlasKMSKey/a241124e3d364e9eb99fbd3e11124b23 Importante
La clave de cifrado debe pertenecer a Key Vault configurada para el proyecto. Haz clic en la sección Key Vault para ver el Key Vault actualmente configurado para el proyecto.
Haga clic en Update Credentials.
Atlas muestra un cartel en la interfaz de usuario de Atlas durante el proceso de rotación del Identificador de clave. No debe borrar ni deshabilitar el Identificador de clave original hasta que se hayan implementado los cambios.
Si el clúster usa Respaldar tu Clúster, no borres ni inhabilites el Identificador de Clave original hasta que valides que ninguna snapshot usó esa clave para cifrar.
Temas relacionados
Para habilitar el cifrado en reposo utilizando la gestión de claves al implementar un clúster de Atlas, consulta Administra tus propias llaves de cifrado.
Para activar el cifrado en reposo usando la gestión de claves para un clúster de Atlas existente, consulta Activar el cifrado en reposo.
Para obtener más información sobre el cifrado en reposo utilizando la gestión de claves en Atlas, consulta Cifrado en reposo utilizando la gestión de claves del cliente.
Para obtener más información sobre el cifrado en reposo de MongoDB, consulta Cifrado en reposo en la documentación del servidor de MongoDB.
Para obtener más información sobre el cifrado en reposo con copias de seguridad en la nube, consulta Motor de almacenamiento y cifrado de copias de seguridad en la nube.
Para habilitar la Gestión de clave del cliente para Search Nodes, consulte Habilitar cifrado de datos en Search Nodes.