Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Encriptación
Docs Home
/
Gestión
/
Crear Copia de seguridad, Restaurar y Archivar
/
Encriptación
Docs Home
/
Gestión
/
Crear Copia de seguridad, Restaurar y Archivar
/
Encriptación

Acceder a un snapshot cifrado

Cuando usas Cifrado en reposo utilizando la gestión de claves del cliente, Atlas cifra el mongod archivos de datos en tus instantáneas. Si quieres descargar y restaurar una snapshot, el mongod no puede leer estos archivos de datos a menos que tenga acceso a un KMIP servidor que puede proporcionar la clave de descifrado adecuada. Puede utilizar el Proxy KMIP autónomo para acceder a los archivos de datos mongod. Descarga el Proxy Autónomo KMIP como un binario para tu sistema operativo específico.

Considerations

Por defecto, KMIP Proxy autónomo utiliza las credenciales almacenadas en el archivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata.

  • Si rotas las claves, estas credenciales reflejan la última rotación de claves.

  • Si el binario autónomo del Proxy KMIP no puede descifrar los snapshots usando estas credenciales, el binario muestra un mensaje de error que indica que debes actualizar los archivos de metadatos en el disco que contienen las credenciales antiguas. Puede actualizar el archivo de metadatos con cualquier editor de texto.

  • Si utilizas acceso basado en roles a tu clave de cifrado, el archivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata no contendrá credenciales válidas.

    Realiza una de las siguientes acciones:

    • Actualice el /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata archivo. Use un roleId vacío. Proporcione credenciales temporales basadas en el rol de IAM que pueda acceder a su clave de cifrado en los accessKeyId campos secretAccessKey y:

      {
        "accessKeyId": "TemporaryAccessKeyId",
        "secretAccessKey": "TemporarySecretAccessKey",
        "roleId": "",
        "region": "us-east-1"
      }

    • Inicia el ejecutable autónomo KMIP Proxy con las siguientes opciones:

      • awsAccessKey

      • awsSecretAccessKey

      • awsSessionToken

      • awsRegion

    Para generar credenciales temporales basadas en una función de IAM, consulte la Documentación de AWS.

  • Se pueden descargar snapshots cifradas de la misma manera que las snapshots no cifradas. Recomendamos utilizar el acceso basado en roles a la llave de cifrado para el proyecto como parte de las mejores prácticas de seguridad.

Procedimiento

1

En Atlas, ve a Backup detalles para tu proyecto.

  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Backup en la sección Database.

    Los detalles de la copia de seguridad se muestran.

  4. Haga clic en el enlace del clúster.

2

Descarga la snapshot cifrada.

  1. Si aún no está seleccionada, haga clic en la pestaña Snapshots.

  2. En la columna Actions, expanda el menú Actions, y haga clic en Download para la snapshot que desea descargar.

    Atlas prepara la snapshot. Cuando esté listo para descargar, Atlas genera un enlace de descarga de un solo uso que expira 1 hora después de su creación. Atlas te envía el enlace de descarga por correo electrónico y lo muestra en la pestaña Restores & Downloads.

3

Descarga el Proxy KMIP autónomo.

En el modal Preparing Snapshot Download, haz clic en Download KMIP Proxy y selecciona el binario para tu sistema operativo.

También puede realizar uno de los siguientes pasos para acceder al enlace download KMIP Proxy Standalone:

  • Haz clic en la pestaña Restores & Downloads.

  • En Atlas, se debe ir a la página Advanced del proyecto.

    1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

    2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

    3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

    4. En la barra lateral, haga clic en Advanced.

      La página Avanzada se muestra.

    El enlace aparece en la sección Encryption at Rest using your Key Management.

4

Inicia el Proxy KMIP autónomo.

  1. Abre una ventana de terminal o de símbolo del sistema.

  2. Ejecuta el siguiente comando con los parámetros especificados:

    kmipProxyStandalone
      -awsAccessKeyId <accessKey> -awsSecretAccessKey <secretAccessKey> \
      -awsSessionToken <token> -awsRegion <region> -cloudProvider aws \
      -dbpath <dbpath> -kmipPort <kmipPort> -mongodPort <mongodPort>
    Parameter
    Descripción

    awsAccessKey

    ID de clave de accesoIAM con permisos para acceder a la clave maestra del cliente.

    Se requiere solo si no se especificó un accessKeyId en el archivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata.

    awsSecretAccessKey

    IAM clave de acceso secreta con permisos para acceder a la llave maestra de cliente.

    Se requiere solo si no se especificó un secretAccessKey en el archivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata.

    awsSessionToken

    Token para usar al otorgar credenciales de seguridad temporales de AWS.

    awsRegion

    AWS región en la que existe la AWS llave maestra de cliente.

    Se requiere solo si no se especificó un region en el archivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata.

    cloudProvider

    Su proveedor de servicios en la nube. El valor debe ser aws.

    dbpath

    Ruta al directorio de datos mongod para el que deseas crear un proxy.

    kmipPort

    Puerto en el que se ejecutará el proxy KMIP.

    mongodPort

    Puerto en el que ejecutar el mongod.

    kmipProxyStandalone
      -cloudProvider <azure|gcp> -dbpath <dbpath> \
      -kmipPort <kmipPort> -mongodPort <mongodPort>
    Parameter
    Descripción

    cloudProvider

    Tu proveedor de servicios en la nube. Los valores válidos son azure o gcp.

    dbpath

    Ruta al directorio de datos mongod para el que deseas crear un proxy.

    kmipPort

    Puerto en el que se ejecutará el proxy KMIP.

    mongodPort

    Puerto en el que ejecutar el mongod.

El Proxy KMIP autónomo genera un certificado KMIP para localhost y lo escribe en el dbpath.

5

Iniciar un mongod proceso.

Ejecuta el siguiente comando con los parámetros especificados:

Nota

Este comando solo está disponible para los clientes de Atlas Enterprise.

mongod --dbpath <dbpath> --port  <mongodPort> --enableEncryption --kmipPort <kmipPort> --kmipServerName 127.0.0.1 --kmipServerCAFile <dbpath>/kmipCA.pem --kmipActivateKeys false --kmipClientCertificateFile <dbpath>/kmipClient.pem
Parameter
Descripción

dbpath

Ruta al directorio donde mongod almacena sus datos.

port

Puerto en el que el mongod escucha conexiones de clientes.

kmipPort

Puerto en el que escucha el servidor KMIP.

kmipServerCAFile

Ruta al archivo CA utilizado para validar la conexión segura del cliente al servidor KMIP.

kmipActivateKeys

Para el servidor MongoDB v5.2 o posterior, marca que especifica si se activan o desactivan las claves para el servidor MongoDB. El valor para este parámetro debe ser false cuando inicies el servidor de MongoDB.

kmipClientCertificateFile

Ruta al certificado de cliente utilizado para autenticar MongoDB en el servidor KMIP.

El mongod actúa como un servidor KMIP vinculado a 127.0.0.1 y opera en el kmipPort especificado.

6

Conéctate al proceso mongod.

Acceda a sus archivos de datos conectándose a a mongod mongoshtravés de, MongoDB Compass o mediante utilidades estándar como mongodump o mongorestore.

También puedes restaurar un snapshot utilizando Cifrado en Reposo.

Volver

Encriptación

Next

Restaurar usando cifrado en reposo

En esta página