Amazon Web Services KMS で作成、所有、管理するカスタマー マネージド キー(CMK)を使用して Atlas で保管中のデータを暗号化するだけでなく、すべてのレイヤーをAWS PrivateLink を使用するためのAmazon Web Services KMS 。
このページでは、Amazon Web Services KMS でAWS PrivateLink を設定して、Atlas とAmazon Web Services KMS 間のすべてのトラフィックがAmazon Web Servicesのプライベートネットワークインターフェイスを介して行われるようにする方法について説明します。
Considerations
PrivateLink 経由でAmazon Web Services KMS を使用して保管時の暗号化を有効にする前に、次のユースケース、利点、制限、前提条件を確認してください。
ユースケース
Atlas は 1 つのクラウドサービス プロバイダーに配置されているとします。Amazon Web Services KMS へのすべてのアクセスは、クラウドプロバイダーのプライベート ネットワーク インフラストラクチャを介して実行される必要があります。このページでは、 Atlasプロジェクトでプライベートエンドポイント接続を有効にする手順について説明します。
メリット
プライベートネットワーク経由でAmazon Web Services KMS を使用して保管時の暗号化を設定できます。この構成により、Amazon Web Services KMS へのすべてのトラフィックはプライベートエンドポイントのセットを通過し、Amazon Web Services KMS がパブリックインターネットまたはパブリックIPアドレスに公開されるのを回避できます。この構成では、すべてのAmazon Web Services KMS トラフィックをAmazon Web Servicesのプライベート ネットワーク内に保持することで、データのセキュリティを強化しながら、許可されたIPアドレスを維持する必要がなくなります。
制限
Atlas は、プライベート ネットワーク経由でAmazon Web Services KMS を使用して保管時の暗号化をサポートしており、単一クラウド配置のみをサポートしています。
Atlas は、
ACTIVE状態のプロジェクトのみにプライベートネットワーク経由でAmazon Web Services KMS を使用して保管時の暗号化をサポートしています。
前提条件
MongoDB プロジェクトでAWS KMS を使用してカスタマー マネージド キーを有効にするには、次の手順を実行する必要があります。
M10 以上のクラスターを使用します。
十分な権限を持つ AWS IAM ロールを持っているようにします。Atlas には、キーを使用して次のアクションを実行する権限が必要です。
注意
AWS KMS キーを作成した IAM ロールではなく、別の AWS アカウントの AWS IAM ロールで AWS KMS キーを使用する場合は、十分な権限があることを確認してください。
外部 AWS アカウントを含めるには、 AWS KMS キーの下にキー ポリシー ステートメントを追加します。
外部 AWS アカウントの IAM ロールに IAM インライン ポリシーを追加します。
IAM ロールとカスタマーについて詳しくは、 AWSドキュメント を参照してください。
上記の権限を確認したら、通常の手順に従って Atlas で KMS 設定を構成できますが、次の例外があります。
AWS KMS キーの完全な ARN を指定する必要があります(例:
arn:aws:kms:eu-west-2:111122223333:key/12345678-1234-1234-1234-12345678)を入力します。マスター キー ID(例:12345678-1234-1234-1234-12345678を AWS KMS キー ID フィールドに入力しないでください。
IAM ロールの作成方法について詳しくは、 AWSドキュメントで「 IAMロール 」を参照してください。
Atlas は、保存時の暗号化が有効になっているプロジェクト内のすべてのクラスターに対して同じ IAM ロールと Amazon Web Services KMS キー設定を使用します。
AWS KMS 構成で必要な場合は、Atlas が KMS と通信できるように、 Atlas IPアドレスとクラスター ノードのパブリックIPアドレスまたは DNS ホスト名からのアクセスを許可します。ポリシードキュメントでIPアドレス条件演算子を構成 して、管理対象 IAM ロール ポリシーにIPアドレスを含める必要があります。ノードのIPアドレスが 変更された 場合は、接続の中断を回避するために構成を更新する必要があります。
手順
プロジェクトの暗号化のキーへのロールベース アクセスの有効化
Atlas Atlasで、プロジェクトの {0 ページにGoします。GoAdvanced
警告: ナビゲーションの改善が進行中
現在、新しく改善されたナビゲーション エクスペリエンスを展開しています。次の手順が Atlas UIのビューと一致しない場合は、プレビュー ドキュメントを参照してください。
まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。
サイドバーで、 Security見出しの下のAdvancedをクリックします。
詳細ページが表示されます。
Authorize a new IAM role のリンクをクリックして、 AWS IAM ロールを許可し、保管時の暗号化に使用する AWS KMS キーにアクセスできるようにします。
保存時の暗号化に使用する Amazon Web Services KMS キーにアクセスするための新しいAmazon Web Services IAM ロールを作成するには、「Amazon Web Services CLI を使用した新しいロールの作成 」の手順に従います。承認する既存の Amazon Web Services IAM ロールがある場合は、「既存のロールへの信頼関係の追加」手順に従ってください。
AWS Services コンソールまたは CLI を使用して、 AWS Web Services IAM ロールにアクセス ポリシーを追加します。詳細については、「 IAM ポリシーの管理 」を参照してください。
注意
このポリシーステートメントにより、MongoDB のAWS Principal は、暗号化および復号化操作にカスタマーの KMS キーを使用できるようになります。 Atlas Principal は秘密ではなく、すべての Atlas カスタマー間で使用されます。これは、高度に制限された、目的限定のAWSアカウントであり、IAM ユーザー以外のリソースは含まれません。ポリシーExternalId ステートメント内の は Atlas のプロジェクトごとに一意ですが、秘密ではありません。 は、クロスコンテキスト(混乱した代理)への脆弱性の可能性を軽減するために使用されます。こちらExternalId で説明されているように、Atlas が共通のプリンシパルを使用してすべてのカスタマーのキーにアクセスする方法を、アクセス パターンとしてAmazonは推奨しています。
保管時の暗号化のアクセス ポリシーは次のようになります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:123456789012:key/12x345y6-7z89-0a12-3456-xyz123456789" ] } ] }
cloudProviderAccess エンドポイントに POST リクエストを送信します。
API エンドポイントを使用して、新しいAmazon Web Services IAM ロールを作成します。Atlas は、Amazon Web Services アカウントの認証にこのロールを使用します。
返されたフィールド値 atlasAWSAccountArn と atlasAssumedRoleExternalId を、次の手順で使用するために保存しておきます。
Amazon Web Services IAM ロールの信頼ポリシーを変更します。
Amazon Web Servicesマネジメント コンソールにログインします。
Identity and Access Management (IAM)サービスに移動します。
左側のナビゲーションからRolesを選択します。
ロールのリストから Atlas アクセスに使用する既存の IAM ロールをクリックします。
Trust Relationships タブを選択します。
Edit trust relationshipボタンをクリックします。
Policy Documentを編集します。 次のコンテンツを持つ新しい
Statementオブジェクトを追加します。注意
このポリシーステートメントにより、MongoDB のAWS Principal は、暗号化および復号化操作にカスタマーの KMS キーを使用できるようになります。 Atlas Principal は秘密ではなく、すべての Atlas カスタマー間で使用されます。これは、高度に制限された、目的限定のAWSアカウントであり、IAM ユーザー以外のリソースは含まれません。ポリシー
ExternalIdステートメント内の は Atlas のプロジェクトごとに一意ですが、秘密ではありません。 は、クロスコンテキスト(混乱した代理)への脆弱性の可能性を軽減するために使用されます。こちらExternalIdで説明されているように、Atlas が共通のプリンシパルを使用してすべてのカスタマーのキーにアクセスする方法を、アクセス パターンとしてAmazonは推奨しています。注意
強調表示された行を、ステップ 1 の API 呼び出しから返された値に置き換えます。
{ "Version": "2020-03-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "<atlasAWSAccountArn>" }, "Action:" "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "<atlasAssumedRoleExternalId>" } } } ] } Update Trust Policyボタンをクリックします。
新しく作成した IAM ロールを承認します。
APIエンドポイントを使用して、新しい IAM 引き受けロール ARN を承認および構成します。API 呼び出しに成功した場合は、 Amazon Web Services を使用する Atlas サービスを構成するときに roleId 値を使用できます。
ロール認証を用いたプロジェクトでの Amazon Web Services KMS の有効化
承認された Amazon Web Services IAM ロール ID を使用して awsKms.roleId フィールドを更新するには、encryptionAtRest API エンドポイントに PATCH リクエストを送信します。
例
curl --user "{public key}:{private key}" --digest \ --header "Accept: application/json" \ --header "Content-Type: application/json" \ --include \ --request PATCH \ "https://cloud.mongodb.com/api/atlas/v1.0/groups/{groupId}/encryptionAtRest?pretty=true&envelope=true" \ --data ' { "awsKms": { "enabled": true, "roleId": "<roleId>", "customerMasterKeyID": "<master-key-id>", "region": "<aws-region>" } }'
プロジェクトの暗号化のキーへのロールベース アクセスを有効 にした後、「プロジェクトのプライベート エンドポイント接続の有効化と設定 」に従ってプロジェクトのプライベート エンドポイント接続を有効にします。
プロジェクトの暗号化のキーのロールベース アクセスへの切り替え
Amazon Web Services 、 Atlas 内の Amazon Web Services KMS 暗号化のキーへのアクセスを管理するために、 IAM ユーザー ではなく IAM ロール を使用する必要があります。IAM ユーザー認証情報を使用してAmazon Web Services KMS キーにアクセスするようにプロジェクトを最初に設定した場合は、次の手順に従ってロールベースのアクセスに切り替えます。
重要
暗号化キーをロールベースのアクセスに切り替えた場合、そのプロジェクトでは、ロールベースのアクセス構成を取り消して、暗号化のキーの認証情報ベースのアクセスに戻すことはできません。
AtlasGoAdvancedAtlas で、プロジェクトの ページにGoします。
警告: ナビゲーションの改善が進行中
現在、新しく改善されたナビゲーション エクスペリエンスを展開しています。次の手順が Atlas UIのビューと一致しない場合は、プレビュー ドキュメントを参照してください。
まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。
サイドバーで、 Security見出しの下のAdvancedをクリックします。
詳細ページが表示されます。
保管時の暗号化に使用する AWS KMS キーにアクセスするための AWS IAM ロールを、Atlas に承認して割り当てます。
保存時の暗号化に使用する Amazon Web Services KMS キーにアクセスするための新しいAmazon Web Services IAM ロールを作成するには、「Amazon Web Services CLI を使用した新しいロールの作成 」の手順に従います。承認する既存の Amazon Web Services IAM ロールがある場合は、「既存のロールへの信頼関係の追加」手順に従ってください。
Atlas 管理APIを使用して暗号化のキーマネジメントを更新するには、上記の手順と同じ手順を使用します。
プロジェクトでのプライベートエンドポイント接続の有効化と設定
プライベートネットワークを有効にし、Amazon Web Services KMS にプライベートエンドポイントを設定するには、次の手順を実行する必要があります。
AtlasGoAdvancedAtlas で、プロジェクトの ページにGoします。
警告: ナビゲーションの改善が進行中
現在、新しく改善されたナビゲーション エクスペリエンスを展開しています。次の手順が Atlas UIのビューと一致しない場合は、プレビュー ドキュメントを参照してください。
まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。
サイドバーで、 Security見出しの下のAdvancedをクリックします。
詳細ページが表示されます。
各リージョンの暗号化のキーを複製します。
Amazon Web Services KMS ダッシュボードにサインインします。
Atlas UIで、Copy をクリックして、カスタマーマスター キーIDを保存します。
AWS KMS ダッシュボードで、必要なすべてのリージョンでキーを複製します。詳細については、 AWS のドキュメント を参照してください。
Atlas UIでクリックします Continue
プライベートエンドポイントを作成するAmazon Web Servicesリージョンを指定します。
ドロップダウンからAmazon Web Services のリージョンを選択します。
[Continue] をクリックします。
Atlas はこれらのリージョンにプライベートエンドポイントを自動的に作成し、プライベートネットワークを使用して接続できるようにします。
Atlas がプライベートエンドポイントの現在のステータスを反映するまでに最大 3 分かかります。プライベートエンドポイントは、次のいずれかのステータスになります。
アクティブ | プライベートエンドポイントが承認され、Atlas が または として使用していることを示します。 |
失敗 | プライベートエンドポイントの作成が失敗したことを示します。 |
プライベートネットワークを有効にします。
encryptionAtRest エンドポイントに PATCHリクエストを送信し、requirePrivateNetworking フラグの値を true に設定します。
必要なパラメータの詳細については、「 1 つのプロジェクトのカスタマー マネージド キーを使用した保管時の暗号化の構成の更新 」を参照してください。
例
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request PATCH "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/" \ --data ' { "awsKms": { "accessKeyID": "019dd98d94b4bb778e7552e4", "customerMasterKeyID": "string", "enabled": true, "region": "US_EAST_1", "roleId": "32b6e34b3d91647abb20e7b8", "secretAccessKey": "string", "requirePrivateNetworking": true } }'
プライベートエンドポイントを作成します。
Atlas Administration APIを使用して、Amazon Web Services KMS と通信するためのプライベートエンドポイントを作成します。
POSTencryptionAtRestAtlas でプライベートエンドポイントを作成するAmazon Web Servicesリージョンを使用して、 エンドポイントに リクエストを送信します。Atlas でプライベートエンドポイントを作成するリージョンごとに個別のリクエストを送信する必要があります。
例
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints" \ --data ' { "regionName": "US_EAST_1" }'
プライベートエンドポイントを作成すると、次の制限が適用されます。
Atlas は、承認されたプライベートエンドポイントを持つリージョンにのみすべての新しいクラスターを作成します。
Atlas は、承認されたプライベートエンドポイントを持つリージョンにのみ既存のクラスターに追加のノードを配置します。
リクエストのステータスを確認します。
プライベートエンドポイントのステータスを確認するには、 encryptionAtRestエンドポイントにGETリクエストを送信します。
例
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints"
{ "links": [ { "href": "https://cloud.mongodb.com/api/atlas", "rel": "self" } ], "results": [ { "cloudProvider": "AWS", "id": "24-hexadecimal-digit-string", "privateEndpointConnectionName": "string", "regionName": "US_EAST_1", "status": "INITIATING", } ], "totalCount": 1 }
Atlas がプライベートエンドポイントの現在のステータスを反映するまでに最大 3 分かかります。プライベートエンドポイントは、次のいずれかのステータスになります。
アクティブ | プライベートエンドポイントが承認され、Atlas が または として使用していることを示します。 |
失敗 | プライベートエンドポイントの作成が失敗したことを示します。 |
プロジェクトでカスタマーキー管理を有効にし、プライベートエンドポイントを設定したら、「Atlas クラスターのカスタマーキー管理の有効化」に従って、プロジェクト内の各 Atlas クラスターのカスタマー キー管理を有効にします。
Atlas クラスターのカスタマー キー管理の有効化
プロジェクトの暗号化のキーでロールベース アクセスを有効にした後、暗号化するデータを含む各 Atlas クラスターに対してカスタマーキー マネジメントを有効にする必要があります。
注意
該当プロジェクト内のクラスターのカスタマー キー管理を有効にするには、Project Owner ロールが必要です。
マルチリージョン CMK
マルチリージョンAmazon Web Services CMK の場合は、すべてのリージョンキー ARN を KMS キー ポリシーに追加して、それらのリージョンの Atlas クラスターがアクセスできるようにしてください。
新しいクラスターの場合は、クラスターを作成するときに 独自の暗号化キーの管理設定を [Yes] に切り替えます。
既存クラスターの場合:
AtlasGoClustersAtlas で、プロジェクトの ページにGoします。
警告: ナビゲーションの改善が進行中次の手順が Atlas UIのビューと一致しない場合は、プレビュー ドキュメントを参照してください。
まだ表示されていない場合は、希望するプロジェクトを含む組織を選択しますナビゲーション バーのOrganizationsメニュー
まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。
まだ表示されていない場合は、サイドバーの [Clusters] をクリックします。
[ Clusters (クラスター) ] ページが表示されます。
プロジェクトのカスタマー マネージド キーの無効化
プロジェクトの CMK を無効にするには、まず、状態に関係なく、プロジェクトに関連付けられているすべてのプライベートエンドポイントを削除する必要があります。アクティブなプライベートエンドポイントに関連付けられているプロジェクトの CMK を無効にしようとすると、Atlas にエラーが表示されます。
プロジェクトのすべてのプライベートエンドポイントを削除した後、プロジェクトの機能を無効にする前に、プロジェクト内の各クラスターでカスタマーキー管理を無効にする必要があります。
警告
Atlasプロジェクト内でカスタマーキー管理を無効にする前に、Atlasプロジェクト内のいずれかのクラスターが使用する Amazon Web Services KMS キーを 無効にしたり削除したり しないでください。Atlas がAmazon Web Services KMS キーにアクセスできない場合、キーが暗号化したデータにアクセスできなくなります。
プロジェクトの新しいエンドポイントの作成
プロジェクトのプライベートエンドポイント接続を有効にして設定した後は、Atlas UIと Atlas Administration APIからいつでも追加のエンドポイントを追加できます。
AtlasGoAdvancedAtlas で、プロジェクトの ページにGoします。
警告: ナビゲーションの改善が進行中
現在、新しく改善されたナビゲーション エクスペリエンスを展開しています。次の手順が Atlas UIのビューと一致しない場合は、プレビュー ドキュメントを参照してください。
まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。
サイドバーで、 Security見出しの下のAdvancedをクリックします。
詳細ページが表示されます。
プライベートエンドポイントを作成するリージョンを指定します。
ドロップダウンからAmazon Web Services のリージョンを選択します。
[Continue] をクリックします。
Atlas はこれらのリージョンにプライベートエンドポイントを自動的に作成し、プライベートネットワークを使用して接続できるようにします。
Atlas がプライベートエンドポイントの現在のステータスを反映するまでに最大 3 分かかります。プライベートエンドポイントは、次のいずれかのステータスになります。
アクティブ | プライベートエンドポイントが承認され、Atlas が または として使用していることを示します。 |
失敗 | プライベートエンドポイントの作成が失敗したことを示します。 |
プライベートエンドポイントを作成します。
Atlas Administration APIを使用して、Amazon Web Services KMS と通信するためのプライベートエンドポイントを作成します。
POSTencryptionAtRestAtlas にプライベートエンドポイントを作成させるAmazon Web Servicesリージョンを使用して、 エンドポイントに リクエストを送信します。Atlas でプライベートエンドポイントを作成するリージョンごとに個別のリクエストを送信する必要があります。
例
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints" \ --data ' { "regionName": "US_EAST_1" }'
プライベートエンドポイントを作成すると、次の制限が適用されます。
Atlas は、承認されたプライベートエンドポイントを持つリージョンにのみすべての新しいクラスターを作成します。
Atlas は、承認されたプライベートエンドポイントを持つリージョンにのみ既存のクラスターに追加のノードを配置します。
リクエストのステータスを確認します。
プライベートエンドポイントのステータスを確認するには、 encryptionAtRestエンドポイントにGETリクエストを送信します。
例
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints"
{ "links": [ { "href": "https://cloud.mongodb.com/api/atlas", "rel": "self" } ], "results": [ { "cloudProvider": "AWS", "id": "24-hexadecimal-digit-string", "privateEndpointConnectionName": "string", "regionName": "US_EAST_1", "status": "INITIATING", } ], "totalCount": 1 }
Atlas がプライベートエンドポイントの現在のステータスを反映するまでに最大 3 分かかります。プライベートエンドポイントは、次のいずれかのステータスになります。
アクティブ | プライベートエンドポイントが承認され、Atlas が または として使用していることを示します。 |
失敗 | プライベートエンドポイントの作成が失敗したことを示します。 |
プライベートエンドポイント接続の拒否または削除
Atlas UIと Atlas 管理APIからプライベートエンドポイント接続を削除できます。
AtlasGoAdvancedAtlas で、プロジェクトの ページにGoします。
警告: ナビゲーションの改善が進行中
現在、新しく改善されたナビゲーション エクスペリエンスを展開しています。次の手順が Atlas UIのビューと一致しない場合は、プレビュー ドキュメントを参照してください。
まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。
サイドバーで、 Security見出しの下のAdvancedをクリックします。
詳細ページが表示されます。
DELETEプライベートエンドポイントを正常に削除するには、Atlas Administration APIエンドポイントに リクエストを送信し、削除するプロジェクトとプライベートエンドポイントのIDを指定します。削除するプライベートエンドポイントのIDGET は、Atlas Administration API 1 つのプロバイダーの 1 つのプライベートエンドポイント サービスを返す リクエストを送信することで取得できます。
例
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API --header "Content-Type: application/json" \ --include \ --request DELETE "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/ privateEndpoints/{endpointId}" \ --data ' { "cloudProvider": "AWS", "regions": [ "string" ] }'
Atlas Administration APIを使用してプライベートエンドポイントを削除すると、プライベートエンドポイントは DELETING ステータスに移行し、Atlas がプライベートエンドポイントを削除します。
Amazon Web Services UIからアクティブなプライベートエンドポイントを削除または拒否すると、Atlas は同じリージョンに新しいプライベートエンドポイントの再作成を自動的に試行します。
Atlas が新しいプライベートエンドポイントを作成しようとしている間に、拒否または削除したプライベートエンドポイントのステータスはPENDING_RECREATIONに移行し、Atlas が作成しようとする新しいエンドポイントはINITIATING状態になります。 新しいプライベートエンドポイントは、作成後に承認する必要があります。
プライベートエンドポイントとそのステータスの表示
Atlas UIと Atlas 管理APIから、さまざまなリージョンのプライベートエンドポイントとそのステータスを表示できます。
AtlasGoAdvancedAtlas で、プロジェクトの ページにGoします。
警告: ナビゲーションの改善が進行中
現在、新しく改善されたナビゲーション エクスペリエンスを展開しています。次の手順が Atlas UIのビューと一致しない場合は、プレビュー ドキュメントを参照してください。
まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。
サイドバーで、 Security見出しの下のAdvancedをクリックします。
詳細ページが表示されます。
プライベートエンドポイントとそのステータスは、Atlas Administration APIにGET リクエストを送信すると、Atlas Administration APIからすべてのエンドポイントまたはencryptionAtRest 1 つのエンドポイントを取得するために送信できます。このため、プライベートエンドポイントのIDは で指定する必要があります。パス。
例
1 つのプロジェクトのすべてのプライベートエンドポイントを返す
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API --header "Content-Type: application/json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints/"
各プライベートエンドポイントは、次のいずれかのステータスになります。
アクティブ | プライベートエンドポイントが承認され、Atlas が または として使用していることを示します。 |
失敗 | プライベートエンドポイントの作成が失敗したことを示します。 |
プロジェクトのプライベートエンドポイント接続の無効化
プロジェクトのプライベートエンドポイント接続を無効にするには、まずプロジェクトに関連付けられているすべてのプライベートエンドポイントを削除する必要があります。Atlas は、プロジェクトがアクティブなプライベートエンドポイントに関連付けられている場合、プロジェクトのプライベートエンドポイント接続を無効にしません。
プロジェクトのすべてのプライベートエンドポイント を削除した後、Atlas UIと Atlas Administration APIを使用してプロジェクトのプライベートエンドポイント接続を無効にできます。
AtlasGoAdvancedAtlas で、プロジェクトの ページにGoします。
警告: ナビゲーションの改善が進行中
現在、新しく改善されたナビゲーション エクスペリエンスを展開しています。次の手順が Atlas UIのビューと一致しない場合は、プレビュー ドキュメントを参照してください。
まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。
サイドバーで、 Security見出しの下のAdvancedをクリックします。
詳細ページが表示されます。
プライベートエンドポイント接続を無効にするには、requirePrivateNetworkingブール値値フラグ値を false に設定して、エンドポイントに PATCHリクエストを送信します。
例
{ "awsKms": { "accessKeyID": "019dd98d94b4bb778e7552e4", "customerMasterKeyID": "string", "enabled": true, "region": "US_EAST_1", "roleId": "32b6e34b3d91647abb20e7b8", "secretAccessKey": "string" "requirePrivateNetworking": false } }
関連トピック
Atlas クラスターの配置時にキー管理を使用して保管時の暗号化を有効にするには、「独自の暗号化キーの管理 」を参照してください。
既存の Atlas クラスターでキー管理を使用して保管時の暗号化を有効にするには、 「 保管時の暗号化の有効化 」を参照してください。
Atlas でキー管理を使用した保管時の暗号化の詳細については、「 カスタマー キー管理を使用した保管時の暗号化 」を参照してください。
MongoDB の保存時の暗号化の詳細については、MongoDB サーバーのドキュメントの「保存時の暗号化」を参照してください。
クラウドバックアップによる保管時の暗号化について詳しくは、「ストレージ エンジンとクラウドバックアップの暗号化」を参照してください。