Atlas はクラウドプロバイダーの標準ストレージ暗号化メソッドを使用してすべてのスナップショットを暗号化し、保管中のクラスター データのセキュリティを確保します。 クラウドプロバイダーが暗号化キーを管理します。
注意
MongoDB Atlas共有責任モデルは、安全で回復力のあるデータ環境を維持するためのMongoDBとそのカスタマーの補完的な役割を定義します。このフレームワークの下、 MongoDB は基礎のプラットフォームのセキュリティと運用上の整合性を管理しますが、カスタマーは特定の配置の構成、管理、データ ポリシーに責任を負います。所有者のセキュリティと運用の優れ性の詳細な内訳については、共有責任モデルを参照してください。
プロジェクトとクラスターに対してカスタマー キー管理を使用した保管時の暗号化を使用する場合、 AtlasはKMS ( KMS )プロバイダーを使用してスナップショットに追加の暗号化レイヤーを適用します。
スナップショットの暗号化に使用されるキーを表示
カスタマー キー マネジメントを使用した保管時の暗号化 を使用するプロジェクトとクラスターの場合、 AtlasはKMS ( KMS )プロバイダーを使用します。
では、 として Amazon Web ServicesIAM を使用するクラスターの場合、snapshot KMSAtlasの取得時点でプロジェクトのカスタマー マスター キー(CMK)とAmazon Web Services IAM ユーザーまたはロールの認証情報を使用し、snapshot のデータファイルを自動的に暗号化します。これにより、すべての Atlas ストレージおよび snapshot のボリュームに適用されている既存の暗号化に暗号化レイヤーが追加されます。 oplogPIT 復元用に収集された データも、カスタマーの CMK で暗号化されます。
Atlasは、ID CMK の一意の と、 CMKAmazon Web Services にアクセスするために使用される IAM ユーザー認証情報または ロール を保存しています。Atlas は、スナップショットを復元するときにこの情報を使用します。 保管時の暗号化 を使用して、暗号化されたスナップショットにアクセスし、スナップショットを復元できます。
Azure Key VaultをKMSとして使用するクラスターの場合、 Atlasはスナップショットの時点でプロジェクトのキー識別子、キーヴォールト認証情報、および Active Directory アプリケーション アカウントの認証情報を使用して、スナップショットのデータファイルを自動的に暗号化します。 これにより、すべての Atlas ストレージおよび snapshot のボリュームに適用されている既存の暗号化に暗号化レイヤーが追加されます。 oplogPIT 復元用に収集された データも、カスタマーの CMK で暗号化されます。
Atlas は、スナップショットの暗号化に使用された Azure キー識別子の一意の ID を保存します。 Atlas は、キー識別子へのアクセスに使用される Azure Key Vault 認証情報と Active Domain アプリケーション アカウントの認証情報も保存します。 Atlas は、スナップショットを復元するときにこの情報を使用します。 保管時の暗号化 を使用して、暗号化されたスナップショットにアクセスし、スナップショットを復元できます。
AtlasはGoogle Cloud Platformサービス アカウント キーを使用して、 MongoDBマスターキーを暗号化および復号化します。 これらの MongoDB マスターキーは、クラスターのデータベースファイルとクラウドプロバイダーのスナップショットを暗号化するために使用されます。 oplogPIT 復元用に収集された データも、カスタマーの CMK で暗号化されます。保管時の暗号化 を使用して、暗号化されたスナップショットにアクセスし、スナップショットを復元できます。
手順
スナップショットの暗号化に使用されたキーを表示するには、以下を行います。
AtlasBackup で、プロジェクトの の詳細に移動します。
まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。
サイドバーで、 Database見出しの下のBackupをクリックします。
バックアップの詳細が表示されます。
クラスター リンクをクリックします。
Encryption Key IDに注目してください。
クラスター内の各スナップショットの Encryption Key ID に注目してください。Atlas は、スナップショットの暗号化に使用されるキー識別子を一覧表示します。暗号化されていないスナップショットには Not enabled が表示されます。これは、カスタマー キー管理を使用して保管時の暗号化を有効にしていないことを意味します。ただし、Atlas はデフォルトで、デフォルトのクラウドプロバイダーキーを使用して、すべてのスナップショットと保管中のデータを暗号化します。
重要
Atlas は、スナップショットを正常に復元するために、スナップショットのEncryption Key IDに関連付けられた暗号化のキーにアクセスする必要があります。
キー管理を使用して Atlas Encryption at Rest で使用される暗号化キー ID を削除する前に、プロジェクト内のすべてのバックアップが有効なクラスターで、その暗号化キー ID をまだ使用しているスナップショットを確認してください。 暗号化キーを削除すると、そのキーで暗号化されたすべてのスナップショットにアクセスできなくなり、回復できなくなります。
Atlas は、 バックアップの予定、保持、オンデマンド スナップショットに従ってバックアップを自動的に削除します。 Atlas が特定の暗号化キー ID に依存するすべてのスナップショットを削除したら、キーを安全に削除できます。
暗号化キー ID を無効にする場合は、そのキーで暗号化されたスナップショットを復元する前に、キーを再度有効にする必要があります。
Atlas プロジェクトでキー管理を使用して保管時の暗号化を設定するに関する詳細なドキュメントについては、「 KMS を使用した保管時の暗号化 」を参照してください。 その後、 キー管理を使用して、新しいクラスターを配置するか、既存のクラスターで保管時の暗号化を有効にすることができます。