Nota
Esta característica no está disponible para ninguna de las siguientes implementaciones:
Clústeres gratuitos
Clústeres Flex
Para aprender más, Límites.
Puedes usar una clave administrada por el cliente (CMK) de Azure Key Vault (AKV) para cifrar aún más tus datos en reposo en Atlas. Esta página describe cómo configurar la gestión de claves de cliente mediante AKV en su proyecto Atlas y en los clústeres de ese proyecto.
Requisitos previos
Para habilitar claves administradas por el cliente con AKV para un proyecto MongoDB, debe:
Utilice un clúster M10 o mayor.
Ten la cuenta Azure y las credenciales de Key Vault, y el identificador de clave para la clave de cifrado en tu AKV.
Para la cuenta, debes tener el ID de cliente, ID de inquilino y secreto. Para aprender sobre una opción sin secretos, consulta Administrar claves de cliente con Azure Key Vault (autenticación sin secretos).
Para el almacén de claves, se debe disponer del ID de suscripción, el nombre del grupo de recursos y el nombre del almacén de claves.
Para obtener información sobre cómo configurar estos componentes de Azure, consulte la Documentación de Azure.
Atlas utiliza estos recursos al habilitar el cifrado en reposo para un clúster en el proyecto Atlas.
Para ayudar a los usuarios a crear o cambiar un clúster fácilmente, puede permitir el acceso público a la clave. Para delimitar el alcance de la clave y mitigar riesgos, utiliza controles como TLS y autenticación.
Para acceso restringido a rangos de IP definidos, permitir acceso desde direcciones IP de Atlas y las direcciones IP públicas de los nodos de tu clúster.
Asegúrate de que Atlas pueda comunicarse con tu AKV. Para evitar interrupciones en la conectividad, actualiza tu configuración cuando las direcciones IP de los nodos cambien. Por ejemplo, se podría necesitar actualizar las reglas de acceso entrante.
Si se restringe el acceso al AKV, se genera más complejidad cuando las direcciones IP cambian. Por ejemplo, cuando se crea o actualiza un clúster, se debe conceder acceso en el AKV a cualquier nueva dirección IP.
Agregue las direcciones IP salientes del plano de control de Atlas. Para saber cómo recuperar sus direcciones IP salientes mediante la API de administración de Atlas, consulte Obtener direcciones IP del plano de control de Atlas o utilice la operación de la API "Enumerar direcciones IP del plano de control".
Si tu App registrations usa políticas de acceso condicional, lo que es poco común, debes permitir solicitudes desde las direcciones IP del Atlas Control Plane y las direcciones IP públicas de los nodos de tu clúster para el registro de aplicaciones. Esto se utiliza solo para el registro de la aplicación y no se usa para el acceso al almacén de claves.
Habilita claves gestionadas por el cliente para un proyecto
Debes habilitar llave maestra de cliente para un proyecto antes de poder habilitarlo en un clúster de ese proyecto. Puedes habilitar llave maestra de cliente para un proyecto desde la Interfaz de Usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Configure su método de autenticación.
Atlas admite dos métodos de autenticación para AKV:
Principal de servicio (recomendado): utiliza un principal de servicio gestionado por Atlas específico para su proyecto para autenticar su AKV (autenticación sin secretos). Para obtener más información, consulta Gestionar claves de clientes con Azure Key Vault (autenticación sin secretos).
Credenciales Estáticas: Proporcionar credenciales gestionadas por el cliente (cubiertas aquí).
Ingrese Account Credentials su.
ID de cliente | Ingrese el Client ID (o) de la aplicación de Azure. Asegúrese de haber asignado el Application ID Active Directory Application acceso necesario a. Para obtener más información, consulte Acceso requerido. |
ID de arrendatario | Introduce el Tenant ID (o Directory ID) del directorio de Active Directory. |
Secreto | Introduce uno de los secretos de cliente no vencidos de la aplicación asociados con el tenant de Active Directory. |
Entorno de Azure | Seleccione la nube de Azure en la que reside su inquilino de Active Directory. |
Introduce el Key Vault Credentials.
ID de suscripción | Introduce el Subscription ID del Key Vault. |
Nombre del grupo de recursos | Ingrese el Resource Group nombre de un Azure Resource Group que contenga el Key Vault. |
Nombre del Key Vault | Introduzca el nombre del almacén de claves. Asegúrese de que cuente con las políticas de acceso necesarias. Para obtener más información,consulte Acceso requerido. |
Nota
No puedes modificar las credenciales AKV aquí después de habilitar y configurar las conexiones de nodos privados a tu AKV.
Introduce el Encryption Key.
Identificador clave | Introduzca la URL completa de la clave creada en Key Vault. IMPORTANTE: El identificador de clave debe proporcionarse en el Azure general formato completo: Puede adjuntar |
(Opcional) Configura las conexiones de nodos privados para tu AKV.
Para aprender más, consulta Habilitar y configurar conexiones de nodos privados para un Proyecto
Verifica la configuración de red.
Si configuró Atlas mediante la API de administración de Atlas para comunicarse con AKV mediante Azure Private Link y garantizar que todo el tráfico entre Atlas y Key Vault se realice a través de las interfaces de red privada de Azure, Atlas establece el Require Private Networking estado Active en. Si el estado Inactive es, puede, opcionalmente, completar los pasos para habilitar y configurar conexiones de punto de conexión privado para un proyecto si desea que Atlas use conexiones de punto de conexión privado para su AKV.
Envía una solicitud PATCH al endpoint de encryptionAtRest.
Nota
Este curl comando utiliza un token de acceso a la cuenta de servicio(OAuth) 2.0 para autenticarse en lugar de claves de API. Para obtener más información, consulte la guía de inicio rápido de la API de administración de Atlas.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-05-30+json" \ --header "Content-Type: application/vnd.atlas.2024-05-30+json" \ --request PATCH "https://cloud.mongodb.com/api/atlas/v2/groups/66c9e8f1dd6c9960802420e9/encryptionAtRest" \ --data ' { "azureKeyVault": { "azureEnvironment": "AZURE", "clientID": "b054a9ff-b60a-4cb6-8df6-20726eaefce6", "enabled": true, "keyIdentifier": "https://test-tf-export.vault.azure.net/keys/test/78b9134f9bc94fda8027a32b4715bf3f", "keyVaultName": "test-tf-export", "resourceGroupName": "test-tf-export", "secret": "", "subscriptionID": "009774e0-124f-4a69-83e0-ca8cd8acb4e2", "tenantID": "1f6ef922-9303-402a-bae2-cc68810b023c" } }'
Nota
No puedes modificar las siguientes configuraciones después de habilitar y configurar conexiones de puntos finales privados a tu AKV:
keyVaultNameresourceGroupNamesubscriptionID
Verifique la configuración de cifrado en reposo (EAR) usando llave maestra de cliente para su proyecto.
Para verificar su solicitud para habilitar y configurar el cifrado en reposo usando las claves que administra mediante AKV, envíe una GET solicitud al punto encryptionAtRest final.
Ejemplo
curl --header "Authorization: Bearer {ACCESS-TOKEN}" \ --header "Accept: application/vnd.atlas.2024-05-30+json" \ --header "Content-Type: application/vnd.atlas.2024-05-30+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest"
{ "azureKeyVault": { "azureEnvironment": "AZURE", "clientID": "632ff709-32a8-48a3-8224-30d2386fadaf", "enabled": true, "keyIdentifier": "https://EXAMPLEKeyVault.vault.azure.net/keys/EXAMPLEKey/d891821e3d364e9eb88fbd3d11807b86", "keyVaultName": "string", "requirePrivateNetworking": false, "resourceGroupName": "string", "subscriptionID": "a39012fb-d604-4cd1-8841-77f705f3e6d5", "tenantID": "ee46317d-36a3-4472-a3dd-6549e901da0b", "valid": true } }
En la respuesta, enabled es true si tu proyecto se activa correctamente para Encriptación en reposo utilizando llave maestra de cliente. Puedes configurar una red privada para garantizar que todo el tráfico entre Atlas y Key Vault se realice a través de las interfaces de red privadas de Azure. Para aprender más, consulta Habilitar y configurar conexiones de nodos privados para un Proyecto.
Activar la gestión de claves de cliente para un clúster de Atlas
Después de habilitar las claves administradas por el cliente para un proyecto, debe habilitar la administración de claves del cliente para cada clúster de Atlas que contenga datos que desee cifrar.
Nota
Debes tener el rol de Project Owner para permitir la gestión de claves de cliente para el clúster en ese proyecto.
Para los clústeres nuevos, cambie la configuración Administrar sus propias claves de cifrado a Yes cuando cree el clúster.
Para los clústeres existentes:
En Atlas, ve a la página Clusters de tu proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Clusters en la sección Database.
La página de clústeres se muestra.
Active el cifrado del clúster.
Expande el panel Additional Settings.
Se debe cambiar el ajuste de Manage your own encryption keys a Yes.
Se debe verificar el estado de la configuración de Require Private Networking para el clúster.
Si configuraste el cifrado en reposo mediante clave maestra del cliente CMK (a través de redes privadas) para Atlas a nivel de proyecto, el estado es Active. Si no se configuró ninguna conexión de nodos privados para el proyecto, el estado es Inactive.
Deshabilitar claves administradas por el cliente para un proyecto
Debe deshabilitar la gestión de claves de clientes en cada clúster de un proyecto antes de poder deshabilitar la funcionalidad para ese proyecto.
Advertencia
No deshabilite ni elimine ninguna clave AKV que utilice ningún clúster de su proyecto Atlas antes de haber deshabilitado la administración de claves de cliente en el proyecto Atlas. Si Atlas no puede acceder a una clave AKV, los datos cifrados con esa clave quedarán inaccesibles.
Revocar acceso a una llave de cifrado
Puedes revocar el acceso de Atlas a una clave de cifrado desde dentro de AKV. Atlas pausa automáticamente sus clústeres cuando revoca el acceso a la clave de cifrado, a menos que la lista de acceso IP de AKV restrinja el plano de control de Atlas.
Para permitir la pausa automática de tu clúster, debes:
Desactivar la lista de acceso IP para su AKV
Permita el acceso a su AKV desde el plano de control de Atlas.
Nota
MongoDB añade nuevas direcciones IP del plano de control de Atlas con el tiempo. Debe mantener la lista de acceso IP actualizada para permitir la pausa automática del clúster al utilizar la lista de acceso IP para su AKV.
Si la lista de acceso IP de tu AKV restringe el acceso desde el plano de control de Atlas cuando revocas el acceso a una llave de cifrado, debes pausar tus clústeres manualmente para revocar el acceso de Atlas.
Rota tu identificador de clave de Azure
Nota
Esta característica no está disponible para ninguna de las siguientes implementaciones:
Clústeres gratuitos
Clústeres Flex
Para obtener más información, consulta Límites.
Antes de comenzar, aprenda Sobre la rotación de su identificador de clave de Azure.
Debe crear una nueva clave en el AKV asociada al proyecto Atlas. El siguiente procedimiento documenta cómo rotar el Identificador de clave de su proyecto Atlas especificando un nuevo identificador de clave en Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Haga clic Edit en.
Actualice las credenciales de Azure.
Haga clic en Azure Key Vault si el selector Azure Key Vault aún no está activo.
Haga clic en Encryption Key si el selector Encryption Key aún no está activo.
Ingrese el identificador de clave de Azure en el campo Key Identifier.
Incluye la URL completa al nuevo identificador de llave de cifrado. Por ejemplo:
https://mykeyvault.vault.azure.net/keys/AtlasKMSKey/a241124e3d364e9eb99fbd3e11124b23 Importante
La clave de cifrado debe pertenecer al almacén de claves configurado para el proyecto. Haga clic en la Key Vault sección para ver el almacén de claves configurado actualmente para el proyecto.
Haga clic en Update Credentials.
Atlas muestra un cartel en la interfaz de usuario de Atlas durante el proceso de rotación del Identificador de clave. No debe borrar ni deshabilitar el Identificador de clave original hasta que se hayan implementado los cambios.
Si el clúster usa Respaldar tu Clúster, no borres ni inhabilites el Identificador de Clave original hasta que valides que ninguna snapshot usó esa clave para cifrar.
Temas relacionados
Para habilitar el cifrado en reposo mediante su administración de claves al implementar un clúster Atlas, consulte Administrar sus propias claves de cifrado.
Para habilitar el cifrado en reposo mediante la administración de claves para un clúster Atlas existente, consulte Habilitar el cifrado en reposo.
Para obtener más información sobre el cifrado en reposo utilizando la gestión de claves en Atlas, consulta Cifrado en reposo utilizando la gestión de claves del cliente.
Para obtener más información sobre el cifrado en reposo de MongoDB, consulta Cifrado en reposo en la documentación del servidor de MongoDB.
Para obtener más información sobre el cifrado en reposo con copias de seguridad en la nube, consulta Motor de almacenamiento y cifrado de copias de seguridad en la nube.
Para habilitar la Gestión de clave del cliente para Search Nodes, consulte Habilitar cifrado de datos en Search Nodes.