Nota
Esta característica no está disponible para ninguna de las siguientes implementaciones:
M0Clústeres gratuitosClústeres Flex
Para obtener más información, consulte Límites.
Puede usar una clave administrada por el cliente (CMK) de Azure Key Vault (AKV) para cifrar aún más sus datos en reposo en Atlas. Esta página describe cómo configurar la administración de claves de cliente mediante AKV en su proyecto Atlas y en los clústeres de ese proyecto.
Requisitos previos
Para habilitar claves administradas por el cliente con AKV para un proyecto MongoDB, debe:
Utilice un clúster M10 o mayor.
Tenga la cuenta de Azure y las credenciales de Key Vault, y el identificador de clave para la clave de cifrado en su AKV.
Para la cuenta, debe tener el ID de cliente, el ID de inquilino y el secreto. Para obtener información sobre la opción sin secreto,consulte Administrar claves de cliente con Azure Key Vault (Autenticación sin secreto).
Para el almacén de claves, se debe disponer del ID de suscripción, el nombre del grupo de recursos y el nombre del almacén de claves.
Para obtener información sobre cómo configurar estos componentes de Azure, consulte la Documentación de Azure.
Atlas utiliza estos recursos al habilitar el cifrado en reposo para un clúster en el proyecto Atlas.
Para facilitar la creación o modificación de un clúster por parte de los usuarios, puede permitir el acceso público a la clave. Para limitar el alcance de la clave y mitigar los riesgos, utilice controles como TLS y autenticación.
Para acceder restringido a rangos de IP definidos, permita el acceso desde las direcciones IP de Atlas y las direcciones IP públicas de los nodos de su clúster.
Asegúrese de que Atlas pueda comunicarse con su AKV. Para evitar interrupciones de conectividad, actualice su configuración cada vez que cambien las direcciones IP de los nodos. Por ejemplo, podría necesitar actualizar sus reglas de acceso entrante.
Si restringe el acceso al AKV, se crea mayor complejidad cuando cambian las direcciones IP. Por ejemplo, al crear o actualizar un clúster, debe otorgar acceso al AKV a cualquier nueva dirección IP.
Agregue las direcciones IP salientes del plano de control de Atlas. Para saber cómo recuperar sus direcciones IP salientes mediante la API de administración de Atlas, consulte Obtener direcciones IP del plano de control de Atlas o utilice la operación de la API "Enumerar direcciones IP del plano de control".
Si tu App registrations Para usar políticas de acceso condicional, lo cual es poco común, debe permitir solicitudes desde las direcciones IP del plano de control de Atlas y las direcciones IP públicas de los nodos del clúster para el registro de aplicaciones. Esto se usa solo para el registro de aplicaciones y no para el acceso al almacén de claves.
Habilitar claves administradas por el cliente para un proyecto
Debe habilitar CMK para un proyecto antes de poder habilitarlo en un clúster de ese proyecto. Puede habilitar CMK para un proyecto desde la interfaz de usuario de Atlas y la API de administración de Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Configure su método de autenticación.
Atlas admite dos métodos de autenticación para AKV:
Entidad de servicio (recomendada): Use una entidad de servicio administrada por Atlas específica para su proyecto para autenticarse en AKV (autenticación sin secreto). Para obtener más información,consulte Administrar claves de cliente con Azure Key Vault (autenticación sin secreto).
Credenciales estáticas: proporcione credenciales administradas por el cliente (tratadas aquí).
Ingrese Account Credentials su.
ID de cliente | Ingrese el Client ID (o) de la aplicación de Azure. Asegúrese de haber asignado el Application ID Active Directory Application acceso necesario a. Para obtener más información, consulte Acceso requerido. |
Identificación del inquilino | Introduzca el Tenant ID (o Directory ID) del inquilino de Active Directory. |
Secreto | Ingrese uno de los secretos de cliente no vencidos de la aplicación asociados con el inquilino de Active Directory. |
Entorno de Azure | Seleccione la nube de Azure en la que reside su inquilino de Active Directory. |
Introduce el Key Vault Credentials.
ID de suscripción | Introduzca el Subscription ID del Key Vault. |
Nombre del grupo de recursos | Introduzca el nombre Resource Group de un Azure Resource Group que contenga el Key Vault. |
Nombre de la bóveda de claves | Introduzca el nombre del almacén de claves. Asegúrese de que cuente con las políticas de acceso necesarias. Para obtener más información,consulte Acceso requerido. |
Nota
No puedes modificar las credenciales AKV aquí después de habilitar y configurar las conexiones de nodos privados a tu AKV.
Introduce el Encryption Key.
Identificador de clave | Introduzca la URL completa de la clave creada en Key Vault. IMPORTANTE: El identificador de clave debe proporcionarse en el formato general completo de Azure: NotaPuede añadir |
(Opcional) Configure conexiones de puntos finales privados a su AKV.
Para aprender más, consulta Habilitar y configurar conexiones de nodos privados para un Proyecto
Verifique la configuración de la red.
Si configuró Atlas mediante la API de administración de Atlas para comunicarse con AKV mediante Azure Private Link y garantizar que todo el tráfico entre Atlas y Key Vault se realice a través de las interfaces de red privada de Azure, Atlas establece el Require Private Networking estado Active en. Si el estado Inactive es, puede, opcionalmente, completar los pasos para habilitar y configurar conexiones de punto de conexión privado para un proyecto si desea que Atlas use conexiones de punto de conexión privado para su AKV.
Envía una PATCH solicitud al encryptionAtRest punto final.
Ejemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-05-30+json" \ --header "Content-Type: application/vnd.atlas.2024-05-30+json" \ --request PATCH "https://cloud.mongodb.com/api/atlas/v2/groups/66c9e8f1dd6c9960802420e9/encryptionAtRest" \ --data ' { "azureKeyVault": { "azureEnvironment": "AZURE", "clientID": "b054a9ff-b60a-4cb6-8df6-20726eaefce6", "enabled": true, "keyIdentifier": "https://test-tf-export.vault.azure.net/keys/test/78b9134f9bc94fda8027a32b4715bf3f", "keyVaultName": "test-tf-export", "resourceGroupName": "test-tf-export", "secret": "", "subscriptionID": "009774e0-124f-4a69-83e0-ca8cd8acb4e2", "tenantID": "1f6ef922-9303-402a-bae2-cc68810b023c" } }'
Nota
No puedes modificar las siguientes configuraciones después de habilitar y configurar conexiones de puntos finales privados a tu AKV:
keyVaultNameresourceGroupNamesubscriptionID
Verifique la configuración de cifrado en reposo usando CMK para su proyecto.
Para verificar su solicitud para habilitar y configurar el cifrado en reposo usando las claves que administra mediante AKV, envíe una GET solicitud al punto encryptionAtRest final.
Ejemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-05-30+json" \ --header "Content-Type: application/vnd.atlas.2024-05-30+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest"
{ "azureKeyVault": { "azureEnvironment": "AZURE", "clientID": "632ff709-32a8-48a3-8224-30d2386fadaf", "enabled": true, "keyIdentifier": "https://EXAMPLEKeyVault.vault.azure.net/keys/EXAMPLEKey/d891821e3d364e9eb88fbd3d11807b86", "keyVaultName": "string", "requirePrivateNetworking": false, "resourceGroupName": "string", "subscriptionID": "a39012fb-d604-4cd1-8841-77f705f3e6d5", "tenantID": "ee46317d-36a3-4472-a3dd-6549e901da0b", "valid": true } }
En la respuesta, enabled es true si el proyecto está habilitado correctamente para el cifrado en reposo mediante CMK. Puede configurar una red privada para garantizar que todo el tráfico entre Atlas y Key Vault se realice a través de las interfaces de red privada de Azure. Para obtener más información, consulte Habilitar y configurar conexiones de puntos de conexión privados para un proyecto.
Activar la gestión de claves de cliente para un clúster de Atlas
Después de habilitar las claves administradas por el cliente para un proyecto, debe habilitar la administración de claves del cliente para cada clúster de Atlas que contenga datos que desee cifrar.
Nota
Debes tener el rol de Project Owner para permitir la gestión de claves de cliente para el clúster en ese proyecto.
Para los clústeres nuevos, cambie la configuración Administrar sus propias claves de cifrado a Yes cuando cree el clúster.
Para los clústeres existentes:
En Atlas, ve a la página Clusters de tu proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Clusters en la sección Database.
La página de clústeres se muestra.
Active el cifrado del clúster.
Expande el panel Additional Settings.
Se debe cambiar el ajuste de Manage your own encryption keys a Yes.
Se debe verificar el estado de la configuración de Require Private Networking para el clúster.
Si configuraste el cifrado en reposo mediante clave maestra del cliente CMK (a través de redes privadas) para Atlas a nivel de proyecto, el estado es Active. Si no se configuró ninguna conexión de nodos privados para el proyecto, el estado es Inactive.
Deshabilitar claves administradas por el cliente para un proyecto
Debe deshabilitar la administración de claves de cliente en cada clúster de un proyecto antes de poder deshabilitar la función para el proyecto.
Advertencia
No deshabilite ni elimine ninguna clave AKV que utilice ningún clúster de su proyecto Atlas antes de haber deshabilitado la administración de claves de cliente en el proyecto Atlas. Si Atlas no puede acceder a una clave AKV, los datos cifrados con esa clave quedarán inaccesibles.
Revocar el acceso a una clave de cifrado
Puede revocar el acceso de Atlas a una clave de cifrado desde AKV. Atlas pausa automáticamente sus clústeres al revocar el acceso a la clave de cifrado, a menos que su lista de acceso IP de AKV restrinja el plano de control de Atlas.
Para permitir la pausa automática de su clúster, debe:
Desactivar la lista de acceso IP para su AKV
Permitir el acceso a su AKV desde el plano de control Atlas.
Nota
MongoDB añade nuevas direcciones IP del plano de control de Atlas con el tiempo. Debe mantener la lista de acceso IP actualizada para permitir la pausa automática del clúster mientras usa una lista de acceso IP para su AKV.
Si la lista de acceso IP de su AKV restringe el acceso desde el plano de control de Atlas cuando revoca el acceso a una clave de cifrado, debe pausar sus clústeres manualmente para revocar el acceso de Atlas.
Rota tu identificador de clave de Azure
Nota
Esta característica no está disponible para ninguna de las siguientes implementaciones:
M0Clústeres gratuitosClústeres Flex
Para obtener más información, consulta Límites.
Antes de comenzar, aprenda Sobre la rotación de su identificador de clave de Azure.
Debe crear una nueva clave en el AKV asociado al proyecto Atlas. El siguiente procedimiento describe cómo rotar el identificador de clave de su proyecto Atlas especificando un nuevo identificador de clave en Atlas.
En Atlas, ve a la página Advanced de tu proyecto.
Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.
Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Database & Network Access en la sección Security.
En la barra lateral, haga clic en Advanced.
La página Avanzada se muestra.
Haga clic Edit en.
Actualice las credenciales de Azure.
Haga clic en Azure Key Vault si el selector Azure Key Vault aún no está activo.
Haga clic en Encryption Key si el selector Encryption Key aún no está activo.
Ingrese el identificador de clave de Azure en el campo Key Identifier.
Incluya la URL completa del nuevo identificador de clave de cifrado. Por ejemplo:
https://mykeyvault.vault.azure.net/keys/AtlasKMSKey/a241124e3d364e9eb99fbd3e11124b23 Importante
La clave de cifrado debe pertenecer al almacén de claves configurado para el proyecto. Haga clic en la Key Vault sección para ver el almacén de claves configurado actualmente para el proyecto.
Haga clic en Update Credentials.
Atlas muestra un banner en la interfaz de usuario durante el proceso de rotación del identificador de clave. No elimine ni desactive el identificador de clave original hasta que se hayan implementado los cambios.
Si el clúster usa Realizar copia de seguridad de su clúster,no elimine ni deshabilite el Identificador de clave original hasta que valide que ninguna instantánea haya usado esa clave para el cifrado.
Temas relacionados
Para habilitar el cifrado en reposo mediante su administración de claves al implementar un clúster Atlas, consulte Administrar sus propias claves de cifrado.
Para habilitar el cifrado en reposo mediante la administración de claves para un clúster Atlas existente, consulte Habilitar el cifrado en reposo.
Para obtener más información sobre el cifrado en reposo utilizando la gestión de claves en Atlas, consulta Cifrado en reposo utilizando la gestión de claves del cliente.
Para obtener más información sobre el cifrado en reposo de MongoDB, consulte Cifrado en reposo en la documentación del servidor MongoDB.
Para obtener más información sobre el cifrado en reposo con copias de seguridad en la nube, consulte Motor de almacenamiento y cifrado de copias de seguridad en la nube.
Para habilitar la administración de claves de cliente para los nodos de búsqueda,consulte Habilitar el cifrado de datos del nodo de búsqueda.