Docs Menu
Docs Home
/ /
暗号化
Docs Home
/
管理
/
バックアップ、復元、アーカイブ
/
暗号化
Docs Home
/
管理
/
バックアップ、復元、アーカイブ
/
暗号化

暗号化されたスナップショットへのアクセス

When you use Encryption at Rest using Customer Key Management, Atlas encrypts the mongod data files in your snapshots. スナップショットをダウンロードして復元する場合、適切な復号キーを提供できる KMIPサーバーにアクセスしない限り、 mongodはこれらのデータファイルを読み取ることができません。 KMIPプロキシ スタンドアロンを使用してmongodデータファイルにアクセスできます。 KMIPプロキシ スタンドアロン を、特定のオペレーティング システム用のバイナリとしてダウンロードします。

Considerations

デフォルトでは、 KMIPプロキシ スタンドアロンは/<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadataファイルに保存されている認証情報を使用します。

  • キーをローテーションすると、これらの認証情報は最新のキー ローテーションを反映します。

  • KMIPプロキシ スタンドアロン バイナリがこれらの認証情報を使用してスナップショットを復号化できない場合、バイナリには古い認証情報を含むディスク上のメタデータ ファイルをアップデートする必要があることを示すエラー メッセージが表示されます。 任意のテキストエディタを使用してメタデータ ファイルを更新できます。

  • 暗号化のキー へのロールベース アクセスを使用する場合、 /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadataファイルには有効な認証情報が含まれません。

    次のいずれかのアクションを実行します。

    • /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadataファイルを更新します。 空のroleIdを使用します。 フィールドと フィールドの暗号化のキーにアクセスできる IAM ロールに基づいて一時的な認証情報を提供します。accessKeyIdsecretAccessKey

      {
        "accessKeyId": "TemporaryAccessKeyId",
        "secretAccessKey": "TemporarySecretAccessKey",
        "roleId": "",
        "region": "us-east-1"
      }

    • 次のオプションを使用してKMIPプロキシ スタンドアロン バイナリを起動します。

      • awsAccessKey

      • awsSecretAccessKey

      • awsSessionToken

      • awsRegion

    IAM ロールに基づいて一時的な認証情報を生成するには、Amazon Web Services のドキュメントを参照してください。

  • 暗号化されたスナップショットは、暗号化されていないスナップショットと同じ方法でダウンロードできます。 セキュリティのベストプラクティスとして、プロジェクトの暗号化のキーへのロールベースのアクセスを使用することを推奨します。

手順

1

AtlasBackup で、プロジェクトの の詳細に移動します。

  1. まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

  2. まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。

  3. サイドバーで、 Database見出しの下のBackupをクリックします。

    バックアップの詳細が表示されます。

  4. クラスター リンクをクリックします。

2

暗号化されたスナップショットをダウンロードします。

  1. まだ選択していない場合は、 Snapshotsタブをクリックします。

  2. Actions列で、次を展開します[ Actions ] メニューをクリックし、ダウンロードするスナップショットの [ Download ] をクリックします。

    Atlas はスナップショットを準備します。 ダウンロードの準備ができると、Atlas は 1 回限り使用するダウンロード リンクを生成し、作成から 1 時間で期限切れになります。 Atlas でダウンロード リンクがメールで送信され、Restores & Downloadsタブに表示されます。

3

KMIP プロキシ スタンドアロンをダウンロードします。

Preparing Snapshot Downloadモーダルで、 Download KMIP Proxyをクリックし、ご使用のオペレーティング システム用のバイナリを選択します。

download KMIP Proxy Standaloneリンクにアクセスするには、次のいずれかの手順を実行することもできます。

  • [Restores & Downloads] タブをクリックします。

  • Atlas で、プロジェクトの [Advanced] ページに移動します。

    1. まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

    2. まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。

    3. サイドバーで、 Security見出しの下のDatabase & Network Accessをクリックします。

    4. サイドバーで、Advanced をクリックします。

      詳細ページが表示されます。

    リンクはEncryption at Rest using your Key Managementセクションに表示されます。

4

KMIP プロキシ スタンドアロンを起動します。

  1. ターミナルまたはコマンド プロンプト ウィンドウを開きます。

  2. 指定されたパラメーターを使用して次のコマンドを呼び出します。

    kmipProxyStandalone
      -awsAccessKeyId <accessKey> -awsSecretAccessKey <secretAccessKey> \
      -awsSessionToken <token> -awsRegion <region> -cloudProvider aws \
      -dbpath <dbpath> -kmipPort <kmipPort> -mongodPort <mongodPort>
    Parameter
    説明

    awsAccessKey

    カスタマー マスター キーにアクセスするための権限を持つIAMアクセス キー ID。

    /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadataファイルにaccessKeyIdを指定しなかった場合にのみ必要です。

    awsSecretAccessKey

    カスタマー マスター キーにアクセスする権限を持つIAMシークレット アクセス キー 。

    /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadataファイルにsecretAccessKeyを指定しなかった場合にのみ必要です。

    awsSessionToken

    一時的なAmazon Web Servicesのセキュリティ認証情報を付与するときに使用するトークン。

    awsRegion

    Amazon Web Services Amazon Web Servicesカスタマー マスター キーが存在する Amazon Web Services のリージョン。

    /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadataファイルにregionを指定しなかった場合にのみ必要です。

    cloudProvider

    クラウド サービス プロバイダー。 値はawsである必要があります。

    dbpath

    プロキシを作成するmongodデータディレクトリへのパス。

    kmipPort

    KMIPプロキシを実行するポート。

    mongodPort

    mongodを実行するポート。

    kmipProxyStandalone
      -cloudProvider <azure|gcp> -dbpath <dbpath> \
      -kmipPort <kmipPort> -mongodPort <mongodPort>
    Parameter
    説明

    cloudProvider

    クラウド サービス プロバイダー。 有効な値はazureまたはgcpです。

    dbpath

    プロキシを作成するmongodデータディレクトリへのパス。

    kmipPort

    KMIPプロキシを実行するポート。

    mongodPort

    mongodを実行するポート。

KMIPプロキシ スタンドアロンは、 localhostKMIP証明書を生成し、それをdbpathに書込みます。

5

mongodプロセスを開始します。

指定されたパラメーターを使用して次のコマンドを呼び出します。

注意

このコマンドは、Atlas Enterprise カスタマーでのみ使用できます。

mongod --dbpath <dbpath> --port  <mongodPort> --enableEncryption --kmipPort <kmipPort> --kmipServerName 127.0.0.1 --kmipServerCAFile <dbpath>/kmipCA.pem --kmipActivateKeys false --kmipClientCertificateFile <dbpath>/kmipClient.pem
Parameter
説明

dbpath

mongodがデータを保存するディレクトリへのパス。

port

mongodがクライアント接続をリッスンするポート。

kmipPort

KMIPサーバーがリッスンするポート。

kmipServerCAFile

KMIPサーバーへの安全なクライアント接続を検証するために使用される CA ファイルへのパスです。

kmipActivateKeys

MongoDB サーバー v 5.2以降の場合、MongoDB サーバーのキーを有効にするか無効にするかを指定するフラグ。 MongoDB サーバーを起動するとき、このパラメータの値はfalseである必要があります。

kmipClientCertificateFile

KMIPサーバーに対して MongoDB を認証するために使用されるクライアント証明書へのパスです。

mongod127.0.0.1にバインドされたKMIPサーバーとして機能し、指定されたkmipPort上で実行されます。

6

mongodプロセスに接続します。

データファイルにアクセスするには、 mongoshMongoDB Compass 、またはmongodumpや mongorestore などの標準ユーティリティを介してmongodに接続します

保管時の暗号化を使用してスナップショットを復元することもできます。

戻る

暗号化

次へ

保管時の暗号化を使用した復元

項目一覧