Docs Menu
Docs Home
/
Atlas
/
セキュリティ機能の構成
/
保管時の暗号化
/
Azure Key Vault

パブリック ネットワーク経由で Azure Key Vault を使用してカスタマー キーを管理する

注意

この機能は、次の配置では使用できません。

  • M0 無料クラスター

  • Flex クラスター

  • サーバーレスインスタンス(非推奨)

詳しくは、「 の制限 」を参照してください。

AKV(Azure Key Vault)のカスタマー マネージド キー(CMK)を使用して、Atlas で保管中のデータをさらに暗号化できます。 このページでは、Atlas プロジェクトとそのプロジェクト内のクラスターで AKVを使用してカスタマー キー管理を構成する方法について説明します。

前提条件

MongoDB プロジェクトでAKVを使用してカスタマー マネージド キーを有効にするには、次の手順を実行する必要があります。

  • M10 以上のクラスターを使用します。

  • Azureアカウントと Key Vault の認証情報と、暗号化のキーのキー識別子をAKVに用意します。

    • アカウントには、クライアント ID、テナント ID、およびシークレットが必要です。

    • キーヴォールトには、サブスクリプション ID、リソース グループ名、およびキーヴォールト名が必要です。

    これらのAzureコンポーネントの構成方法については、 Azureドキュメント を参照してください。

    Atlas は、Atlas プロジェクト内のクラスターの保管時の暗号化を有効にするときにこれらのリソースを使用します。

プロジェクトでのカスタマー マネージド キーの有効化

プロジェクト内のクラスターで CMK を有効にする前に、プロジェクトでCMKを有効にする必要があります。 Atlas UI と Atlas Administration API からプロジェクトでCMKを有効にできます。

1

AtlasGoAdvancedAtlas で、プロジェクトの ページにGoします。

  1. まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。

。サイドバーで、Security 見出しの下の Database & Network Access をクリックします。

  1. サイドバーで、Advanced をクリックします。

    詳細ページが表示されます。

2

Encryption at Rest using your Key Management の横にあるボタンを On に切り替えます。

3

Azure Key Vault を選択します。

4

Account Credentials を入力します。

clientId

Azureアプリケーションの Client ID(または Application ID)を入力します。必要なアクセス権が Active Directory Application に割り当てられていることを確認してください。詳細については、 「必要なアクセス権」 を参照してください。

テナント ID

Active Directory テナントのTenant ID (またはDirectory ID )を入力します。

シークレット

Active Directory テナントに関連付けられているアプリケーションの有効期限が切れていないクライアント シークレットの 1 つを入力します。

Azure 環境

Active Directory テナントが存在する Azure クラウドを選択します。

5

Key Vault Credentials を入力します。

サブスクリプション ID

キーヴォールトのSubscription IDを入力します。

リソース グループ名

キーヴォールトを含むAzure Resource GroupResource Group名を入力します。

キーヴォールト名

キーヴォールトの名前を入力します。キーヴォールトに必要なアクセス ポリシーがあることを確認します。詳細については、 「必要なアクセス権」 を参照してください。

注意

AKV へのプライベートエンドポイント接続を有効にして設定した後は、ここで AKV 認証情報を変更することはできません。

6

Encryption Key を入力します。

キー識別子

Key Vault で作成されたキーの完全なURLを入力します。

重要: キー識別子は、完全なAzure一般形式で指定する必要があります。

https://{keyvault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}
7

(任意) AKV へのプライベートエンドポイント接続を構成します。

詳細については、 「 プロジェクトでのプライベートエンドポイント接続の有効化と設定」を参照してください

8

ネットワーク設定を確認します。

Azure Private Link を使用してAtlas Administration API を使用して Atlas を構成し、Atlas と Key Vault 間のすべてのトラフィックがAzureのプライベート ネットワーク インターフェースで行われるようにした場合、Atlas はRequire Private NetworkingステータスをActiveに設定します。 ステータスがInactive の場合、Atlas で AKV へのプライベートエンドポイント接続を使用する場合 は、プロジェクトのプライベートエンドポイント接続の有効化と設定 の手順を完了できます。

9

[Save] をクリックします。

Atlas は、暗号化プロセス中に Atlas コンソールにバナーを表示します。

1

PATCHencryptionAtRestエンドポイント に リクエストを送信します。

curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \
--header "Accept: application/vnd.atlas.2024-05-30+json" \
--header "Content-Type: application/vnd.atlas.2024-05-30+json" \
--request PATCH "https://cloud.mongodb.com/api/atlas/v2/groups/66c9e8f1dd6c9960802420e9/encryptionAtRest" \
--data '
{
   "azureKeyVault": {
      "azureEnvironment": "AZURE",
      "clientID": "b054a9ff-b60a-4cb6-8df6-20726eaefce6",
      "enabled": true,
      "keyIdentifier": "https://test-tf-export.vault.azure.net/keys/test/78b9134f9bc94fda8027a32b4715bf3f",
      "keyVaultName": "test-tf-export",
      "resourceGroupName": "test-tf-export",
      "secret": "",
      "subscriptionID": "009774e0-124f-4a69-83e0-ca8cd8acb4e2",
      "tenantID": "1f6ef922-9303-402a-bae2-cc68810b023c"
   }
}'

注意

AKV へのプライベートエンドポイント接続を有効にして設定した後は、次の設定を変更できません。

  • keyVaultName

  • resourceGroupName

  • subscriptionID

2

プロジェクトの CMK を使用した保管時の暗号化の構成を確認します。

AKVを使用して管理するキーを使用して保管時の暗号化を有効化および構成するリクエストを確認するには、 GETリクエストをencryptionAtRestエンドポイントに送信します。

curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \
--header "Accept: application/vnd.atlas.2024-05-30+json" \
--header "Content-Type: application/vnd.atlas.2024-05-30+json" \
--include \
--request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest"
{
  "azureKeyVault": {
    "azureEnvironment": "AZURE",
    "clientID": "632ff709-32a8-48a3-8224-30d2386fadaf",
    "enabled": true,
    "keyIdentifier": "https://EXAMPLEKeyVault.vault.azure.net/keys/EXAMPLEKey/d891821e3d364e9eb88fbd3d11807b86",
    "keyVaultName": "string",
    "requirePrivateNetworking": false,
    "resourceGroupName": "string",
    "subscriptionID": "a39012fb-d604-4cd1-8841-77f705f3e6d5",
    "tenantID": "ee46317d-36a3-4472-a3dd-6549e901da0b",
    "valid": true
  }
}

プロジェクトでCMKを使用して保管時の暗号化を正常に有効にしている場合、レスポンスではenabledtrueになります。 プライベートネットワークを設定して 、Atlasと Key Vault 間のすべてのトラフィックがAzureのプライベートネットワークインターフェイスを介して行われるようにすることができます。 詳細については、 「 プロジェクトでのプライベートエンドポイント接続の有効化と設定 」を参照してください。

Atlas クラスターのカスタマー キー管理の有効化

プロジェクトでカスタマー マネージド キーを有効 にした後、暗号化するデータを含む各 Atlas クラスターに対してカスタマー キー マネジメントを有効にする必要があります。

注意

該当プロジェクト内のクラスターのカスタマー キー管理を有効にするには、Project Owner ロールが必要です。

新しいクラスターの場合は、クラスターを作成するときに 独自の暗号化キーの管理設定を [Yes] に切り替えます。

既存クラスターの場合:

1

AtlasGoClustersAtlas で、プロジェクトの ページにGoします。

  1. まだ表示されていない場合は、希望するプロジェクトを含む組織を選択しますナビゲーション バーのOrganizationsメニュー

  2. まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。

  3. サイドバーで、 Database見出しの下のClustersをクリックします。

[ Clusters (クラスター) ] ページが表示されます。

2

クラスターの構成を変更します。

暗号化するデータを含むクラスターで、クリックします、次にEdit Configurationを選択します。

3

クラスター暗号化を有効にします。

  1. [Additional Settings] パネルを展開します。

  2. Manage your own encryption keys 設定を Yes に切り替えます。

  3. クラスターのRequire Private Networking設定のステータスを確認します。

    プロジェクト レベルで Atlas のCMKを使用した保管時の暗号化(オーバープライベート ネットワーク)を構成した場合、ステータスはActiveです。 プロジェクトにプライベートエンドポイント接続を構成していない場合、ステータスはInactiveです。

4

変更内容を確認して適用します。

  1. [Review Changes] をクリックします。

  2. 変更内容を確認し、[Apply Changes] をクリックしてクラスターをアップデートします。

プロジェクトのカスタマー マネージド キーの無効化

プロジェクトの機能を無効にする前に、プロジェクト内の各クラスターでカスタマー キー管理を無効にする必要があります。

警告

Atlas プロジェクト内でカスタマー キー管理を無効にする前に、Atlas プロジェクト内のいずれかのクラスターが使用する AKV キーを無効にしたり削除したりし ない でください。Atlas がAKVキーにアクセスできない場合、そのキーが暗号化したデータにはアクセスできなくなります。

暗号化のキーへのアクセスを取り消す

Atlas の暗号化のキーへのアクセスは、 AKV内から取り消すことができます。 Atlas は、 AKV IP アクセス リストで Atlas コントロール プレーンが制限されていない限り、暗号化のキーへのアクセスを取り消すと、クラスターを自動的に一時停止します。

クラスターの自動一時停止を許可するには、次のいずれかを行う必要があります。

  • AKVの IP アクセス リストを無効にする

  • Atlas コントロール プレーン から AKV へのアクセスを許可します。

注意

MongoDB は、新しい Atlas コントロール プレーンの IP アドレスを徐々に追加します。 AKVの IP アクセス リストを使用している間は、IP アクセス リストを更新してクラスターの自動一時停止を許可する必要があります。

IPAtlas暗号化のキーへのアクセスを取り消すときに、 コントロール プレーンからのアクセスが制限されている場合は、 Atlas アクセスを取り消すためにクラスターを手動で一時停止する必要がありAtlas 。

Azure Key 識別子のローテーション

注意

この機能は、次の配置では使用できません。

  • M0 無料クラスター

  • Flex クラスター

  • サーバーレスインスタンス(非推奨)

詳しくは、「 制限 」を参照してください。

開始する前に、 「 Azure キー識別子のローテーションについて 」を参照してください。

Atlasプロジェクトに関連付けられた AKV に新しいキーを作成する必要があります。次の手順では、Atlas で新しいキー識別子を指定して、Atlasプロジェクトキー識別子をローテーションする方法を説明します。

1

AtlasGoAdvancedAtlas で、プロジェクトの ページにGoします。

  1. まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。

。サイドバーで、Security 見出しの下の Database & Network Access をクリックします。

  1. サイドバーで、Advanced をクリックします。

    詳細ページが表示されます。

2

[]Edit をクリックします。

3

Azure 認証情報を更新します。

  1. Azure Key Vaultセレクターがまだアクティブでない場合は、 Azure Key Vaultをクリックします。

  2. Encryption Keyセレクターがまだアクティブでない場合は、 Encryption Keyをクリックします。

  3. Key Identifierフィールドに Azure キー識別子を入力します。

    新しい暗号化キー識別子への完全なURLを含めます。 例:

    https://mykeyvault.vault.azure.net/keys/AtlasKMSKey/a241124e3d364e9eb99fbd3e11124b23

    重要

    暗号化のキーは、プロジェクト用に構成されたキーヴォールトに属している必要があります。 プロジェクトに現在構成されているキーヴォールトを表示するには、 Key Vaultセクションをクリックします。

  4. [Update Credentials] をクリックします。

Atlas は、キー識別子のローテーション プロセス中に Atlas UI にバナーを表示します。 変更がデプロイされるまで、元のキー識別子を削除したり無効にしたり しない でください。

クラスターが クラスターのバックアップを使用する場合は、スナップショットが暗号化にそのキーを使用していないことを検証するまで、元のキー識別子を削除したり無効にしたり しないでください。

関連トピック

戻る

Azure Key Vault

次へ

プライベートエンドポイント経由のアクセスの設定

項目一覧