Nota
Esta característica no está disponible para ninguna de las siguientes implementaciones:
Clústeres gratuitos
Clústeres Flex
Para obtener más información, consulta Límites.
Puedes usar una clave administrada por el cliente (CMK) de Azure Key Vault (AKV) para cifrar aún más tus datos en reposo en Atlas. También puede configurar que todo el tráfico hacia su AKV utilice Azure Private Link.
Nota
El Modelo de Responsabilidad Compartida de MongoDB Atlas define los deberes complementarios de MongoDB y sus clientes en el mantenimiento de un entorno de datos seguro y resiliente. Bajo este marco, MongoDB gestiona la seguridad y la integridad operativa de la plataforma subyacente, mientras que los clientes son responsables de la configuración, gestión y políticas de datos de sus implementaciones específicas. Para obtener un desglose detallado de la propiedad en materia de seguridad y excelencia operativa, consulta el Modelo de Responsabilidad Compartida.
Esta página describe cómo usar la API de administración de Atlas para configurar automáticamente Azure Private Link en tu AKV para garantizar que todo el tráfico entre Atlas y AKV tenga lugar a través de las interfaces de red privadas de Azure.
Considerations
Antes de habilitar el cifrado en reposo mediante AKV sobre endpoints privados, revisa los siguientes casos de uso, beneficios, limitaciones y requisitos previos.
Caso de uso
Supón que tu implementación de Atlas está en un único proveedor de servicios en la nube. Ahora tienes el requisito de que todo el acceso a tu AKV se realice a través de la infraestructura de red privada de tu proveedor de nube. Esta página te guía a través de los pasos para habilitar conexiones de nodos privados para tu Proyecto Atlas.
Beneficios
Puedes utilizar la API de administración de Atlas para permitir que Atlas configure el cifrado en reposo con AKV utilizando nodos privados. Esto permite que todo el tráfico a AKV pase a través de un conjunto de nodos privados y evite exponer AKV a internet público o a direcciones IP públicas. Elimina la necesidad de mantener direcciones IP permitidas y mejora la seguridad de los datos al mantener todo el tráfico de AKV dentro de la red privada de Azure.
Limitaciones
Atlas no admite el cifrado en reposo mediante llave maestra de cliente sobre nodos privados para implementaciones multi-nube. Si habilitas el cifrado en reposo utilizando llave maestra de cliente sobre Azure Private Link en un proyecto existente con clusters multi-nube, Atlas desactiva los clusters multi-nube en tu proyecto.
Atlas no admite el cifrado en reposo usando llave maestra de cliente a través de nodos privados para proyectos en el estado
INACTIVE.Una vez que hayas configurado una conexión de punto de conexión privado en tu AKV, no puedes modificar el Key Vault Name, Subscription ID ni el Resource Group Name de tu AKV, pero igualmente puedes rotar el identificador de clave de Microsoft Azure. Para modificar estos valores, primero debes remover todas las conexiones de nodos privados.
clúster multiregional
Si está utilizando un clúster multirregional, debe crear un punto de conexión privado para su AKV en cada región donde se implemente su clúster.
Requisitos previos
Para habilitar llaves gestionadas por el cliente con AKV para un proyecto de MongoDB, debes:
- Utilice un clúster M10 o mayor.
Tenga la cuenta de Azure y las credenciales de Key Vault, y el identificador de clave para la clave de cifrado en su AKV.
Para la cuenta, debe tener el ID de cliente, el ID de inquilino y el secreto. Para aprender sobre una opción sin secretos, consulte Autenticación sin secretos de Azure Key Vault.
Para el almacén de claves, se debe disponer del ID de suscripción, el nombre del grupo de recursos y el nombre del almacén de claves.
Para aprender cómo configurar estos componentes de Azure, consulta la Documentación de Azure.
Atlas utiliza estos recursos al habilitar el cifrado en reposo para un clúster en el proyecto Atlas.
- Si su App registrations utiliza políticas de acceso condicional, lo cual es poco común, debe permitir solicitudes desde las direcciones IP del plano de control de Atlas y las direcciones IP públicas de los nodos de su clúster para el registro de la aplicación. Esto es solo para el registro de la aplicación y no se utiliza para el acceso al key vault.
Nota
Debe registrar Microsoft.Network con sus proveedores de recursos de suscripción de Azure. Para obtener más información, consulte Documentación de Azure.
Procedimientos
Habilita claves gestionadas por el cliente para un proyecto
Debes habilitar llave maestra de cliente para un proyecto antes de poder habilitarlo en un clúster dentro de ese proyecto. Puedes habilitar llave maestra de cliente para un proyecto desde la Interfaz de Usuario de Atlas y la API de Administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Configura tu método de autenticación.
Atlas admite dos métodos de autenticación para AKV:
Principal de servicio (recomendado): Use un principal de servicio gestionado por Atlas específico de su proyecto para autenticarse en AKV (autenticación sin secretos). Para obtener más información, consulte Autenticación sin secretos de Azure Key Vault.
Credenciales Estáticas: Proporcionar credenciales gestionadas por el cliente (cubiertas aquí).
Ingrese Account Credentials su.
ID de cliente | Introduce el Client ID (o Application ID) de la aplicación de Azure. Asegúrese de que ha asignado al Active Directory Application el acceso necesario. Para obtener más información, consulta Acceso Requerido. |
ID de arrendatario | Introduce el Tenant ID (o Directory ID) del directorio de Active Directory. |
Secreto | Introduce uno de los secretos de cliente no vencidos de la aplicación asociados con el tenant de Active Directory. |
Entorno de Azure | Selecciona la nube de Azure donde residen tus inquilinos de Active Directory. |
Introduce el Key Vault Credentials.
ID de suscripción | Introduce el Subscription ID del Key Vault. |
Nombre del grupo de recursos | Ingrese el Resource Group nombre de un Azure Resource Group que contenga el Key Vault. |
Nombre del Key Vault | Introduzca el nombre de Key Vault. Asegúrese de que el Key Vault tenga las políticas de acceso necesarias. Para obtener más información, consulta Acceso requerido. |
Nota
No puedes modificar las credenciales AKV aquí después de habilitar y configurar conexiones de nodos privados a tu AKV.
Introduce el Encryption Key.
Identificador clave | Introduce la dirección URL completa para la clave creada en Key Vault. IMPORTANTE: El identificador de clave debe proporcionarse en el Azure general formato completo: Puedes agregar |
(Opcional) Configure conexiones de nodos privados a su AKV.
Para obtener más información, consulta Habilitar y configurar las conexiones de Endpoint privado para su proyecto
Verifica la configuración de red.
Si configuró Atlas usando la API de administración de Atlas para comunicarse con AKV usando Azure Private Link para garantizar que todo el tráfico entre Atlas y Key Vault se realice a través de las interfaces de red privadas de Azure, Atlas establece el estado de Require Private Networking en Active. Si el estado es Inactive, usted puede, opcionalmente, completar los pasos para Habilitar y Configure conexiones de nodos privados para un Proyecto si desea que Atlas use conexiones de nodos privados para su AKV.
Haz clic Saveen.
Atlas muestra un banner en la consola de Atlas durante el proceso de cifrado.
Envía una solicitud PATCH al endpoint encryptionAtRest.
Nota
Este comando curl utiliza un token de acceso de cuenta de servicio (OAuth 2.0) para autenticar en lugar de claves API. Para obtener más información, consulte Introducción a la API de administración de Atlas.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-05-30+json" \ --header "Content-Type: application/vnd.atlas.2024-05-30+json" \ --request PATCH "https://cloud.mongodb.com/api/atlas/v2/groups/66c9e8f1dd6c9960802420e9/encryptionAtRest" \ --data ' { "azureKeyVault": { "azureEnvironment": "AZURE", "clientID": "b054a9ff-b60a-4cb6-8df6-20726eaefce6", "enabled": true, "keyIdentifier": "https://test-tf-export.vault.azure.net/keys/test/78b9134f9bc94fda8027a32b4715bf3f", "keyVaultName": "test-tf-export", "resourceGroupName": "test-tf-export", "secret": "", "subscriptionID": "009774e0-124f-4a69-83e0-ca8cd8acb4e2", "tenantID": "1f6ef922-9303-402a-bae2-cc68810b023c" } }'
Nota
No puedes modificar la siguiente configuración después de habilitar y establecer conexiones de nodos privados a tu AKV:
keyVaultNameresourceGroupNamesubscriptionID
Verifica la configuración para el cifrado en reposo usando llave maestra de cliente para tu proyecto.
Para verificar tu solicitud de habilitar y configurar el cifrado en reposo utilizando las claves que gestionas con AKV, envía una solicitud GET al encryptionAtRest endpoint.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-05-30+json" \ --header "Content-Type: application/vnd.atlas.2024-05-30+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest"
{ "azureKeyVault": { "azureEnvironment": "AZURE", "clientID": "632ff709-32a8-48a3-8224-30d2386fadaf", "enabled": true, "keyIdentifier": "https://EXAMPLEKeyVault.vault.azure.net/keys/EXAMPLEKey/d891821e3d364e9eb88fbd3d11807b86", "keyVaultName": "string", "requirePrivateNetworking": false, "resourceGroupName": "string", "subscriptionID": "a39012fb-d604-4cd1-8841-77f705f3e6d5", "tenantID": "ee46317d-36a3-4472-a3dd-6549e901da0b", "valid": true } }
En la respuesta, enabled es true si tu proyecto se habilita correctamente para Cifrado en reposo utilizando llave maestra de cliente. Puedes configurar redes privadas para garantizar que todo el tráfico entre Atlas y Key Vault tenga lugar a través de las interfaces de red privadas de Azure. Para obtener más información, consulta Habilitar y configurar conexiones de nodos privados para un proyecto.
Habilitar y configurar las conexiones de nodos privados para un Proyecto
Puede habilitar y configurar nodos privados utilizando la Interfaz de Usuario de Atlas y la API de Administración de Atlas. Para habilitar la red privada y configurar un nodo privado en tu AKV, debes hacer lo siguiente:
Completa los pasos para habilitar las claves administradas por el cliente (Customer-Managed Keys) para tu proyecto.
Para obtener más información, consulte Habilitar claves gestionadas por el cliente para un proyecto.
Especifica las regiones de Azure donde deseas crear nodos privados.
Si tu clúster ya está habilitado para el cifrado en reposo con AKV, Atlas pobla automáticamente las regiones con tus regiones de clúster. De lo contrario, para agregar regiones, haga lo siguiente:
Selecciona las regiones Azure del menú desplegable.
Importante
Para los clústeres multirregionales, debe seleccionar cada región donde se implementa el clúster.
Haga clic en Continue.
Atlas crea automáticamente nodos privados en estas regiones para permitirle conectarse utilizando redes privadas.
Aprobar los nodos privados.
Puedes usar la Azure Interfaz de Usuario, la CLI o Terraform para aprobar las conexiones de extremo privado.
Después de que lo apruebes, Atlas migra automáticamente todos los clusters para los que habilitaste las claves gestionadas por el cliente, incluidos los clusters existentes que permiten conexiones usando internet público, para que utilicen únicamente la conexión con nodo privado. Opcionalmente, puedes desactivar el acceso público a Internet a tu AKV después de migrar tus clústeres para utilizar la conexión de punto final privado. Todos los nuevos clústeres Atlas en Azure usarán por defecto solo la conexión activa de nodos privados. Atlas implementa nodos adicionales para clústeres existentes solo en las regiones con nodos privados aprobados.
Después de aprobar el nodo privado, Atlas puede tardar hasta tres minutos en reflejar el estado actual de su nodo privado. Para los nodos privados en cada región, la página Approve Endpoints muestra el estado de cada nodo privado. Para obtener más información, consulta Ver nodos privados y sus estados.
Habilitar la red privada.
Envía una solicitud PATCH al endpoint y establece el valor del flag requirePrivateNetworking en true.
Nota
Este comando curl utiliza un token de acceso de cuenta de servicio (OAuth 2.0) para autenticar en lugar de claves API. Para obtener más información, consulte Introducción a la API de administración de Atlas.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2023-01-01+json" \ --header "Content-Type: application/vnd.atlas.2023-01-01+json" \ --include \ --request PATCH "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/" \ --data ' { "azureKeyVault": { "azureEnvironment": "AZURE", "clientID": "632ff709-32a8-48a3-8224-30d2386fadaf", "enabled": true, "keyIdentifier": "https://EXAMPLEKeyVault.vault.azure.net/keys/EXAMPLEKey/d891821e3d364e9eb88fbd3d11807b86", "keyVaultName": "string", "requirePrivateNetworking": true, "resourceGroupName": "string", "secret": "string", "subscriptionID": "a39012fb-d604-4cd1-8841-77f705f3e6d5", "tenantID": "ee46317d-36a3-4472-a3dd-6549e901da0b" } }'
Crea un extremo privado.
Envíe una solicitud POST al endpoint con la región Azure en la que desea que Atlas cree el endpoint privado. Debe enviar una solicitud independiente para cada región en la que desea que Atlas cree un nodo privado.
Importante
Si está utilizando un clúster multirregional, debe crear un punto de conexión privado para su AKV en cada región donde se implemente su clúster.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2023-01-01+json" \ --header "Content-Type: application/vnd.atlas.2023-01-01+json" \ --include \ --request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints" \ --data ' { "regionName": "US_CENTRAL" }'
Después de que apruebes el punto de enlace privado, se aplican las siguientes restricciones:
Atlas crea todos los nuevos clústeres solo en las regiones con nodos privados aprobados.
Atlas implementa nodos adicionales para los clústeres existentes solo en las regiones con puntos finales privados aprobados.
Aprobar las conexiones de nodos privados a tu AKV.
Puedes usar la Azure Interfaz de Usuario, la CLI o Terraform para aprobar las conexiones de extremo privado.
Después de que apruebes, Atlas migra automáticamente todos los clústeres para los que habilitaste claves administradas por el cliente, incluidos los clústeres existentes que permiten conexiones mediante internet público, para que utilicen únicamente la conexión de nodos privados. Opcionalmente, puedes desactivar el acceso a internet público a tu AKV después de migrar tus clústeres para que utilicen la conexión de nodo privado. Todos los nuevos clústeres de Atlas en Azure utilizarán de forma predeterminada únicamente la conexión activa de nodos privados.
Consulta el estado de tu solicitud.
Para comprobar el estado del endpoint privado, envíe una solicitud GET al encryptionAtRest endpoint.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2023-01-01+json" \ --header "Content-Type: application/vnd.atlas.2023-01-01+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints"
{ "links": [ { "href": "https://cloud.mongodb.com/api/atlas", "rel": "self" } ], "results": [ { "cloudProvider": "AZURE", "errorMessage": "string", "id": "24-hexadecimal-digit-string", "regionName": "string", "status": "INITIATING", "privateEndpointConnectionName": "string" } ], "totalCount": 0 }
Después de aprobar el nodo privado, Atlas puede tardar hasta tres minutos en reflejar el estado actual de su nodo privado. El endpoint privado puede tener uno de los siguientes estados:
INICIANDO | Indica que Atlas está en el proceso de crear el endpoint privado. |
PENDIENTE_ACEPTACIÓN | Indica que el nodo privado aún no ha sido aprobado. Debe aceptar el endpoint privado para permitir que Atlas lo use. |
Activo | Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo. |
PENDIENTE DE RECREACIÓN | Indica que el punto final privado fue rechazado o eliminado, y Atlas está en proceso de crear un nuevo punto final privado en la misma región. |
Fallido | Indica que la creación del punto final privado falló. |
Borrando | Indica que Atlas está en proceso de borrar el endpoint privado. |
Después de habilitar el cifrado en reposo utilizando llave maestra de cliente (a través de la red privada) para su Proyecto, puede permitir el cifrado en reposo utilizando llave maestra de cliente para cada clúster Atlas de su Proyecto.
Activar la gestión de claves de cliente para un clúster de Atlas
Después de habilitar las claves administradas por el cliente para un proyecto, se debe habilitar la gestión de claves del cliente para cada clúster de Atlas que contenga la información que se desea cifrar. Si configuró conexiones de nodos privados para su Proyecto de Atlas, Atlas migra automáticamente todos los clústeres para los cuales ya activó las claves gestionadas por el cliente, incluidos los clústeres existentes que permiten conexiones utilizando Internet pública, para utilizar únicamente la conexión de nodo privado.
Nota
Debes tener el rol de Project Owner para permitir la gestión de claves de cliente para el clúster en ese proyecto.
Para los nuevos clústeres, active la configuración Gestiona tus propias llaves de cifrado en Yes, si aún no está activada, al crear el clúster.
Para los clústeres existentes:
En Atlas, ve a la página Clusters de tu proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Clusters en la sección Database.
La página de clústeres se muestra.
Active el cifrado del clúster.
Expande el panel Additional Settings.
Se debe cambiar el ajuste de Manage your own encryption keys a Yes.
Se debe verificar el estado de la configuración de Require Private Networking para el clúster.
Si se configuró el cifrado en reposo mediante la clave maestra del cliente (CMK) (a través de redes privadas) para Atlas a nivel de proyecto, el estado es Active. Si no se configuró ninguna conexión de nodos privados para el proyecto, el estado es Inactive.
Deshabilitar claves administradas por el cliente para un proyecto
Para deshabilitar la CMK para un proyecto, primero debes remover todos los nodos privados asociados con el proyecto, independientemente de su estado. Atlas muestra un error si intentas deshabilitar la llave maestra de cliente para un Proyecto asociado a nodos privados activos.
Después de remover todos los nodos privados de un Proyecto, debe deshabilitar la gestión de claves de clientes en cada clúster del Proyecto antes de deshabilitar la funcionalidad para el Proyecto.
Advertencia
No desactives ni borres ninguna clave de AKV que cualquier clúster en tu Proyecto Atlas esté usando antes de que hayas desactivado la gestión de claves del cliente en el Proyecto Atlas. Si Atlas no puede acceder a una clave AKV, cualquier dato cifrado por esa clave será inaccesible.
Crear nuevos endpoints para un proyecto
Después de habilitar y configurar las conexiones de endpoint privado para tu proyecto, puedes agregar endpoints adicionales en cualquier momento desde la Interfaz de Usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Ve a la página Private Endpoints for Azure Key Vault.
En la página Advanced, en la sección Encryption at Rest using your Key Management, realiza las siguientes acciones:
Expande Network Settings para tu Azure Key Vault si está colapsado.
Haga clic en Manage.
La página Private Endpoints for Azure Key Vault muestra las regiones, el nombre del punto final, el estado de los nodos privados de tus clústeres de Atlas y las acciones que puedes realizar sobre los nodos privados.
Haz clic Create new endpointsen.
Aprobar los nodos privados.
Debe aprobar cada endpoint en su AKV para usar el nodo privado. Puedes usar la Interfaz de Usuario de Azure, CLI o Terraform para aprobar las conexiones de nodos privados.
Para los nodos privados en cada región, la página Approve Endpoints muestra el estado de cada nodo privado. Después de aprobar el nodo privado, Atlas puede tardar hasta tres minutos en reflejar el estado actual de tu nodo privado. Para obtener más información sobre los estados del nodo privado, consulta Ver nodos privados y sus estados.
Crea un extremo privado.
Envíe una solicitud POST al endpoint con la región Azure en la que desea que Atlas cree el endpoint privado. Debe enviar una solicitud independiente para cada región en la que desea que Atlas cree un nodo privado.
Nota
Este comando curl utiliza un token de acceso de cuenta de servicio (OAuth 2.0) para autenticar en lugar de claves API. Para obtener más información, consulte Introducción a la API de administración de Atlas.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2023-01-01+json" \ --header "Content-Type: application/vnd.atlas.2023-01-01+json" \ --include \ --request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints" \ --data ' { "regionName": "US_CENTRAL" }'
Aprobar las conexiones de nodos privados a tu AKV.
Puedes usar la Azure Interfaz de Usuario, la CLI o Terraform para aprobar las conexiones de extremo privado.
Consulta el estado de tu solicitud.
Para comprobar el estado del endpoint privado, envíe una solicitud GET al encryptionAtRest endpoint.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2023-01-01+json" \ --header "Content-Type: application/vnd.atlas.2023-01-01+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints"
{ "links": [ { "href": "https://cloud.mongodb.com/api/atlas", "rel": "self" } ], "results": [ { "cloudProvider": "AZURE", "errorMessage": "string", "id": "24-hexadecimal-digit-string", "regionName": "string", "status": "INITIATING", "privateEndpointConnectionName": "string" } ], "totalCount": 0 }
Después de aprobar el nodo privado, Atlas puede tardar hasta tres minutos en reflejar el estado actual de su nodo privado. El endpoint privado puede tener uno de los siguientes estados:
INICIANDO | Indica que Atlas está en el proceso de crear el endpoint privado. |
PENDIENTE_ACEPTACIÓN | Indica que el nodo privado aún no ha sido aprobado. Debe aceptar el endpoint privado para permitir que Atlas lo use. |
Activo | Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo. |
PENDIENTE DE RECREACIÓN | Indica que el punto final privado fue rechazado o eliminado, y Atlas está en proceso de crear un nuevo punto final privado en la misma región. |
Fallido | Indica que la creación del punto final privado falló. |
Borrando | Indica que Atlas está en proceso de borrar el endpoint privado. |
Rechazar o remover la conexión de endpoint privado
Se pueden remover las conexiones de nodos privados desde la Interfaz de Usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Ve a la página Private Endpoints for Azure Key Vault.
En la página Advanced, en la sección Encryption at Rest using your Key Management, realiza las siguientes acciones:
Expande Network Settings para tu Azure Key Vault si está colapsado.
Haga clic en Manage.
La página Private Endpoints for Azure Key Vault muestra las regiones, el nombre del punto final, el estado de los nodos privados de tus clústeres de Atlas y las acciones que puedes realizar sobre los nodos privados.
Para remover un nodo privado, envíe una solicitud DELETE a la API de administración de Atlas endpoint y especifique la ID del Proyecto y del nodo privado que desea borrar. Puedes recuperar el ID del nodo privado que deseas borrar enviando una solicitud GET al API de administración de Atlas Devolver un servicio de nodo privado para un proveedor.
Nota
Este comando curl utiliza un token de acceso de cuenta de servicio (OAuth 2.0) para autenticar en lugar de claves API. Para obtener más información, consulte Introducción a la API de administración de Atlas.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API --header "Content-Type: application/json" \ --include \ --request DELETE "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints/{endpointId}" \ --data ' { "cloudProvider": "AZURE", "regions": [ "string" ] }'
Cuando borras un nodo privado, el nodo privado pasa al estado DELETING mientras Atlas borra el nodo privado.
Si remueves o rechazas un nodo privado activo en la Interfaz de Usuario de Azure, Atlas intentará automáticamente recrear un nuevo nodo privado en la misma región. Puedes comprobar el estado de los nodos privados desde la Interfaz de Usuario y la Atlas Administration API. Para obtener más información, consulta Ver los nodos privados y sus Estados.
Mientras Atlas intenta crear un nuevo endpoint privado, el estado del endpoint privado que rechazaste o eliminaste pasa a PENDING_RECREATION y el nuevo endpoint que Atlas intenta crear está en estado INITIATING. Debes aprobar el nuevo nodo privado después de que se cree.
Ver nodos privados y su estado
Puedes ver los nodos privados en las diferentes regiones y sus estados desde la Interfaz de Usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Ve a la página Private Endpoints for Azure Key Vault.
En la página Advanced, en la sección Encryption at Rest using your Key Management, realiza las siguientes acciones:
Expande Network Settings para tu Azure Key Vault si está colapsado.
Haga clic en Manage.
La página Private Endpoints for Azure Key Vault muestra las regiones, el nombre del punto final, el estado de los nodos privados de tus clústeres de Atlas y las acciones que puedes realizar sobre los nodos privados.
Cada nodos privados puede estar en uno de los siguientes estados:
PENDIENTE DE APROBACIÓN | Indica que el nodo privado aún no ha sido aprobado. Debe aceptar el endpoint privado para permitir que Atlas lo use. |
Activo | Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo. |
Fallido | Indica que la creación del punto final privado falló. |
Puedes ver el nodo privado y su estado desde las API de administración de Atlas, enviando una solicitud GET a las API de administración de Atlas encryptionAtRest obtener todo endpoint o obtener uno endpoint, para lo cual debes especificar el ID del nodo privado en la ruta.
Nota
Este comando curl utiliza un token de acceso de cuenta de servicio (OAuth 2.0) para autenticar en lugar de claves API. Para obtener más información, consulte Introducción a la API de administración de Atlas.
Ejemplo
Devolver todos los nodos privados para un proyecto
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API --header "Content-Type: application/json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints/"
Cada nodos privados puede estar en uno de los siguientes estados:
INICIANDO | Indica que Atlas está en el proceso de crear el endpoint privado. |
PENDIENTE_ACEPTACIÓN | Indica que el nodo privado aún no ha sido aprobado. Debe aceptar el endpoint privado para permitir que Atlas lo use. |
Activo | Indica que el nodo privado está aprobado y Atlas puede estar usándolo o ya lo está haciendo. |
PENDIENTE DE RECREACIÓN | Indica que el punto final privado fue rechazado o eliminado, y Atlas está en proceso de crear un nuevo punto final privado en la misma región. |
Fallido | Indica que la creación del punto final privado falló. |
Borrando | Indica que Atlas está en proceso de borrar el endpoint privado. |
Desactivar conexiones de nodos privados para un Proyecto
Para deshabilitar las conexiones de nodos privados para un proyecto, primero debes remover todos los nodos privados asociados con el proyecto, sin importar su estado. Atlas no desactiva las conexiones de nodos privados de un proyecto si el proyecto está asociado a nodos privados activos.
Después de remover todos los nodos privados para un Proyecto, puedes deshabilitar las conexiones de nodos privados para el Proyecto utilizando la Interfaz de Usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Para deshabilitar una conexión de nodo privado, envíe una solicitud PATCH al endpoint con el valor de la bandera booleana requirePrivateNetworking establecido en false.
Ejemplo
{ "azureKeyVault": { "azureEnvironment": "AZURE", "clientID": "632ff709-32a8-48a3-8224-30d2386fadaf", "enabled": true, "keyIdentifier": "https://EXAMPLEKeyVault.vault.azure.net/keys/EXAMPLEKey/d891821e3d364e9eb88fbd3d11807b86", "keyVaultName": "string", "requirePrivateNetworking": false, "resourceGroupName": "string", "secret": "string", "subscriptionID": "a39012fb-d604-4cd1-8841-77f705f3e6d5", "tenantID": "ee46317d-36a3-4472-a3dd-6549e901da0b" } }
Revocar acceso a una llave de cifrado
Puedes revocar el acceso de Atlas a una llave de cifrado desde dentro de AKV para congelar tus datos. Atlas pausa automáticamente tus clústeres cuando revocas el acceso a la llave de cifrado.
Rota tu identificador de clave de Azure
Nota
Esta característica no está disponible para ninguna de las siguientes implementaciones:
Clústeres gratuitos
Clústeres Flex
Para obtener más información, consulta Límites.
Antes de comenzar, aprenda Sobre la rotación de su identificador de clave de Azure.
Debes crear una nueva clave en la AKV asociada a tu proyecto Atlas. El siguiente procedimiento documenta cómo rotar el Identificador de clave de su proyecto Atlas especificando un nuevo identificador de clave en Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Actualice las credenciales de Azure.
Haz clic en Azure Key Vault si el selector Azure Key Vault aún no está activo.
Haz clic en Encryption Key si el selector Encryption Key aún no está activo.
Introduzca el Identificador de clave de Azure en el campo Key Identifier.
Incluye la URL completa del nuevo identificador de clave de cifrado. Por ejemplo:
https://mykeyvault.vault.azure.net/keys/AtlasKMSKey/a241124e3d364e9eb99fbd3e11124b23 Importante
La clave de cifrado debe pertenecer a Key Vault configurada para el proyecto. Haz clic en la sección Key Vault para ver el Key Vault actualmente configurado para el proyecto.
Haga clic en Update Credentials.
Atlas muestra un cartel en la interfaz de usuario de Atlas durante el proceso de rotación del Identificador de clave. No debe borrar ni deshabilitar el Identificador de clave original hasta que se hayan implementado los cambios.
Si el clúster usa Respaldar tu Clúster, no borres ni inhabilites el Identificador de Clave original hasta que valides que ninguna snapshot usó esa clave para cifrar.
Temas relacionados
Para habilitar el cifrado en reposo utilizando la gestión de claves al implementar un clúster de Atlas, consulta Administra tus propias llaves de cifrado.
Para activar el cifrado en reposo usando la gestión de claves para un clúster de Atlas existente, consulta Activar el cifrado en reposo.
Para obtener más información sobre el cifrado en reposo utilizando la gestión de claves en Atlas, consulta Cifrado en reposo utilizando la gestión de claves del cliente.
Para obtener más información sobre el cifrado en reposo de MongoDB, consulta Cifrado en reposo en la documentación del servidor de MongoDB.
Para obtener más información sobre el cifrado en reposo con copias de seguridad en la nube, consulta Motor de almacenamiento y cifrado de copias de seguridad en la nube.
Para habilitar la Gestión de clave del cliente para Search Nodes, consulte Habilitar cifrado de datos en Search Nodes.