Docs Menu
Docs Home
/ /
Encriptación
Docs Home
/
Gestión
/
Crear Copia de seguridad, Restaurar y Archivar
/
Encriptación
Docs Home
/
Gestión
/
Crear Copia de seguridad, Restaurar y Archivar
/
Encriptación

Acceder a un snapshot cifrado

Cuando usas Cifrado en reposo mediante la gestión de claves del cliente, Atlas cifra el mongod archivos de datos en sus instantáneas. Si desea descargar y restaurar una instantánea, el mongod no puede leer estos archivos de datos a menos que tenga acceso a un Servidor KMIP que puede proporcionar la clave de descifrado adecuada. Puede usar el proxy KMIP independiente para acceder a los mongod archivos de datos. Descargue el proxy KMIP independiente como archivo binario para su sistema operativo.

Considerations

De forma predeterminada,KMIP Proxy Standalone utiliza las credenciales almacenadas en el /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata archivo.

  • Si rota claves, estas credenciales reflejan la última rotación de claves.

  • Si el archivo binario independiente del proxy KMIP no puede descifrar las instantáneas con estas credenciales, mostrará un mensaje de error que indica que debe actualizar los archivos de metadatos en el disco que contienen las credenciales antiguas. Puede actualizar el archivo de metadatos con cualquier editor de texto.

  • Si utiliza acceso basado en roles a su clave de cifrado, el /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata archivo no contendrá credenciales válidas.

    Realice una de las siguientes acciones:

    • Actualice el /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata archivo. Use un roleId vacío. Proporcione credenciales temporales basadas en el rol de IAM que pueda acceder a su clave de cifrado en los accessKeyId campos secretAccessKey y:

      {
        "accessKeyId": "TemporaryAccessKeyId",
        "secretAccessKey": "TemporarySecretAccessKey",
        "roleId": "",
        "region": "us-east-1"
      }

    • Inicie el binario independiente KMIP Proxy con las siguientes opciones:

      • awsAccessKey

      • awsSecretAccessKey

      • awsSessionToken

      • awsRegion

    Para generar credenciales temporales basadas en una función de IAM, consulte la Documentación de AWS.

  • Se pueden descargar snapshots cifradas de la misma manera que las snapshots no cifradas. Recomendamos utilizar el acceso basado en roles a la llave de cifrado para el proyecto como parte de las mejores prácticas de seguridad.

Procedimiento

1

En Atlas, vaya a la Backup Detalles para su proyecto.

  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Backup en la sección Database.

    Los detalles de la copia de seguridad se muestran.

  4. Haga clic en el enlace del clúster.

2

Descargue la instantánea cifrada.

  1. Si aún no está seleccionada, haga clic en la pestaña Snapshots.

  2. En la Actions columna, expanda el Actions menú y haga clic Download en para la instantánea que desea descargar.

    Atlas prepara la instantánea. Cuando está lista para descargarse, genera un enlace de descarga de un solo uso que caduca 1 hora después de su creación. Atlas te envía el enlace de descarga por correo electrónico y lo muestra en la pestaña Restores & Downloads.

3

Descargue el proxy KMIP independiente.

En el modal Preparing Snapshot Download, haga clic en Download KMIP Proxy y seleccione el binario para su sistema operativo.

También puede realizar uno de los siguientes pasos para acceder al enlace download KMIP Proxy Standalone:

  • Haz clic en la pestaña Restores & Downloads.

  • En Atlas, se debe ir a la página Advanced del proyecto.

    1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

    2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

    3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

    4. En la barra lateral, haga clic en Advanced.

      La página Avanzada se muestra.

    El enlace aparece en la sección Encryption at Rest using your Key Management.

4

Inicie el proxy KMIP independiente.

  1. Abra una terminal o ventana del símbolo del sistema.

  2. Invoque el siguiente comando con los parámetros especificados:

    kmipProxyStandalone
      -awsAccessKeyId <accessKey> -awsSecretAccessKey <secretAccessKey> \
      -awsSessionToken <token> -awsRegion <region> -cloudProvider aws \
      -dbpath <dbpath> -kmipPort <kmipPort> -mongodPort <mongodPort>
    Parameter
    Descripción

    awsAccessKey

    ID de clave de accesoIAM con permisos para acceder a la clave maestra del cliente.

    Sólo es obligatorio si no especificó un accessKeyId en el archivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata.

    awsSecretAccessKey

    Clave de acceso secreta deIAM con permisos para acceder a la clave maestra del cliente.

    Sólo es obligatorio si no especificó un secretAccessKey en el archivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata.

    awsSessionToken

    Token a utilizar al otorgar credenciales de seguridad temporales de AWS.

    awsRegion

    Región deAWS en la que existe la clave maestra del cliente de AWS.

    Sólo es obligatorio si no especificó un region en el archivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata.

    cloudProvider

    Su proveedor de servicios en la nube. El valor debe ser aws.

    dbpath

    Ruta al directorio de datos mongod para el que desea crear un proxy.

    kmipPort

    Puerto en el que ejecutar el proxy KMIP.

    mongodPort

    Puerto en el que se ejecutará el mongod.

    kmipProxyStandalone
      -cloudProvider <azure|gcp> -dbpath <dbpath> \
      -kmipPort <kmipPort> -mongodPort <mongodPort>
    Parameter
    Descripción

    cloudProvider

    Su proveedor de servicios en la nube. Los valores válidos son azure o gcp.

    dbpath

    Ruta al directorio de datos mongod para el que desea crear un proxy.

    kmipPort

    Puerto en el que ejecutar el proxy KMIP.

    mongodPort

    Puerto en el que se ejecutará el mongod.

El proxy KMIP independiente genera un certificado KMIP para localhost y lo escribe dbpath en.

5

Iniciar un mongod proceso.

Invoque el siguiente comando con los parámetros especificados:

Nota

Este comando solo está disponible para clientes de Atlas Enterprise.

mongod --dbpath <dbpath> --port  <mongodPort> --enableEncryption --kmipPort <kmipPort> --kmipServerName 127.0.0.1 --kmipServerCAFile <dbpath>/kmipCA.pem --kmipActivateKeys false --kmipClientCertificateFile <dbpath>/kmipClient.pem
Parameter
Descripción

dbpath

Ruta al directorio donde mongod almacena sus datos.

port

Puerto en el que mongod escucha conexiones de cliente.

kmipPort

Puerto en el que escucha el servidor KMIP.

kmipServerCAFile

Ruta al archivo CA utilizado para validar la conexión segura del cliente al servidor KMIP.

kmipActivateKeys

Para el servidor MongoDB v5.2 o posterior, indicador que especifica si se activan o desactivan las claves del servidor MongoDB. El valor de este parámetro debe ser false al iniciar el servidor MongoDB.

kmipClientCertificateFile

Ruta al certificado de cliente utilizado para autenticar MongoDB en el servidor KMIP.

El mongod actúa como un servidor KMIP vinculado a 127.0.0.1 y se ejecuta en el kmipPort especificado.

6

Conectarse al mongod proceso.

Acceda a sus archivos de datos conectándose a a mongod mongoshtravés de, MongoDB Compass o mediante utilidades estándar como mongodump o mongorestore.

También puedes restaurar una instantánea usando Cifrado en reposo.

Volver

Encriptación

Next

Restaurar usando cifrado en reposo

En esta página