Make the MongoDB docs better! We value your opinion. Share your feedback for a chance to win $100.
MongoDB Branding Shape
Click here >
Docs Menu
Docs Home
/ /
Encriptación
Docs Home
/
Gestión
/
Crear Copia de seguridad, Restaurar y Archivar
/
Encriptación
Docs Home
/
Gestión
/
Crear Copia de seguridad, Restaurar y Archivar
/
Encriptación

Acceder a un snapshot cifrado

Cuando utilizas Cifrado en reposo utilizando la gestión de claves de cliente, Atlas cifra los archivos de datos mongod en tus instantáneas. Si deseas descargar y restaurar una instantánea, el mongod no puede leer estos archivos de datos a menos que tenga acceso a un servidor KMIP que pueda proporcionar la clave de descifrado adecuada. Puedes utilizar el Proxy KMIP autónomo para acceder a los archivos de datos de mongod. Debes descargar el Proxy KMIP autónomo como un archivo binario para tu sistema operativo específico.

Considerations

Por defecto, el proxy KMIP autónomo utiliza las credenciales almacenadas en el archivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata.

  • Si rotas las claves, estas credenciales reflejan la última rotación de claves.

  • Si el ejecutable KMIP Proxy autónomo no puede descifrar los snapshots utilizando estas credenciales, el binario muestra un mensaje de error indicando que se deben actualizar los archivos de metadatos en disco que contienen las credenciales antiguas. Puedes actualizar el archivo de metadatos con cualquier editor de texto.

  • Si utilizas acceso basado en roles a tu clave de cifrado, el archivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata no contendrá credenciales válidas.

    Realiza una de las siguientes acciones:

    • Actualiza el archivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata. Utiliza un roleId vacío. Proporcione credenciales temporales basadas en el rol de IAM que puedan acceder a su llave de cifrado en los campos accessKeyId y secretAccessKey:

      {
        "accessKeyId": "TemporaryAccessKeyId",
        "secretAccessKey": "TemporarySecretAccessKey",
        "roleId": "",
        "region": "us-east-1"
      }

    • Inicie el binario autónomo del proxy KMIP con las siguientes opciones:

      • awsAccessKey

      • awsSecretAccessKey

      • awsSessionToken

      • awsRegion

    Para generar credenciales temporales basadas en un rol de IAM, consulte la documentación de AWS.

  • Se pueden descargar snapshots cifradas de la misma manera que las snapshots no cifradas. Recomendamos utilizar el acceso basado en roles a la llave de cifrado para el proyecto como parte de las mejores prácticas de seguridad.

Procedimiento

1

En Atlas, ve a los detalles de Backup de tu proyecto.

  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Backup en la sección Database.

    Los detalles de la copia de seguridad se muestran.

  4. Haga clic en el enlace del clúster.

2

Descarga la snapshot cifrada.

  1. Si aún no está seleccionada, haga clic en la pestaña Snapshots.

  2. En la columna Actions, expanda el menú Actions, y haga clic en Download para la snapshot que desea descargar.

    Atlas prepara la snapshot. Cuando esté listo para descargar, Atlas genera un enlace de descarga de un solo uso que expira 1 hora después de su creación. Atlas te envía el enlace de descarga por correo electrónico y lo muestra en la pestaña Restores & Downloads.

3

Descarga el Proxy KMIP autónomo.

En el modal Preparing Snapshot Download, haz clic en Download KMIP Proxy y selecciona el binario para tu sistema operativo.

También puedes realizar uno de los siguientes pasos para acceder al enlace download KMIP Proxy Standalone:

  • Haz clic en la pestaña Restores & Downloads.

  • En Atlas, se debe ir a la página Advanced del proyecto.

    1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

    2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

    3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

    4. En la barra lateral, haga clic en Advanced.

      La página Avanzada se muestra.

    El enlace aparece en la sección Encryption at Rest using your Key Management.

4

Inicie el Proxy KMIP autónomo.

  1. Abre una ventana de terminal o de símbolo del sistema.

  2. Ejecuta el siguiente comando con los parámetros especificados:

    kmipProxyStandalone
      -awsAccessKeyId <accessKey> -awsSecretAccessKey <secretAccessKey> \
      -awsSessionToken <token> -awsRegion <region> -cloudProvider aws \
      -dbpath <dbpath> -kmipPort <kmipPort> -mongodPort <mongodPort>
    Parameter
    Descripción

    awsAccessKey

    ID de clave de acceso de IAM con permisos para acceder a la llave maestra de cliente.

    Se requiere solo si no se especificó un accessKeyId en el archivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata.

    awsSecretAccessKey

    Clave de acceso secreta IAM con permisos para acceder a la llave maestra de cliente.

    Se requiere solo si no se especificó un secretAccessKey en el archivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata.

    awsSessionToken

    Token que se utilizará al conceder credenciales de seguridad AWS temporales.

    awsRegion

    Región de AWS en la que existe la llave maestra de cliente de AWS.

    Se requiere solo si no se especificó un region en el archivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata.

    cloudProvider

    Tu proveedor de servicios en la nube. El valor debe ser aws.

    dbpath

    Ruta al directorio de datos mongod para el que deseas crear un proxy.

    kmipPort

    Puerto en el que ejecutar el proxy KMIP.

    mongodPort

    Puerto en el que ejecutar el mongod.

    kmipProxyStandalone
      -cloudProvider <azure|gcp> -dbpath <dbpath> \
      -kmipPort <kmipPort> -mongodPort <mongodPort>
    Parameter
    Descripción

    cloudProvider

    Tu proveedor de servicios en la nube. Los valores válidos son azure o gcp.

    dbpath

    Ruta al directorio de datos mongod para el que deseas crear un proxy.

    kmipPort

    Puerto en el que ejecutar el proxy KMIP.

    mongodPort

    Puerto en el que ejecutar el mongod.

El Proxy KMIP autónomo genera un certificado KMIP para localhost y lo guarda en el dbpath.

5

Inicio de un proceso mongod .

Ejecuta el siguiente comando con los parámetros especificados:

Nota

Este comando solo está disponible para los clientes de Atlas Enterprise.

mongod --dbpath <dbpath> --port  <mongodPort> --enableEncryption --kmipPort <kmipPort> --kmipServerName 127.0.0.1 --kmipServerCAFile <dbpath>/kmipCA.pem --kmipActivateKeys false --kmipClientCertificateFile <dbpath>/kmipClient.pem
Parameter
Descripción

dbpath

Ruta al directorio donde mongod almacena sus datos.

port

Puerto en el que el mongod escucha conexiones de clientes.

kmipPort

Puerto en el que escucha el servidor KMIP.

kmipServerCAFile

Ruta al archivo CA (Autoridad de Certificación) utilizada para validar la conexión segura del cliente al servidor KMIP.

kmipActivateKeys

Para el servidor MongoDB v5.2 o posterior, marca que especifica si se activan o desactivan las claves para el servidor MongoDB. El valor para este parámetro debe ser false cuando inicies el servidor de MongoDB.

kmipClientCertificateFile

Ruta al certificado de cliente utilizado para autenticar MongoDB en el servidor KMIP.

El mongod actúa como un servidor KMIP vinculado a 127.0.0.1 y se ejecuta en el kmipPort especificado.

6

Conéctate al proceso mongod.

Accede a tus archivos de datos conectándote a mongod a través de mongosh, MongoDB Compass, o mediante utilidades estándar como mongodump o mongorestore.

También puedes restaurar un snapshot utilizando Cifrado en Reposo.

Volver

Encriptación

Next

Restaurar usando cifrado en reposo

En esta página