カスタマー キー マネジメントを使用した保管時の暗号化 を使用すると、Atlas はスナップショット内のmongodデータファイルを暗号化します。 スナップショットをダウンロードして復元する場合、適切な復号キーを提供できるKMIPサーバーにアクセスしない限り、 mongodはこれらのデータファイルを読み取ることができません。 KMIPプロキシ スタンドアロンを使用してmongodデータファイルにアクセスできます。 KMIPプロキシ スタンドアロン を、特定のオペレーティング システム用のバイナリとしてダウンロードします。
Considerations
デフォルトでは、 KMIPプロキシ スタンドアロンは/<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadataファイルに保存されている認証情報を使用します。
キーをローテーションすると、これらの認証情報は最新のキー ローテーションを反映します。
KMIPプロキシ スタンドアロン バイナリがこれらの認証情報を使用してスナップショットを復号化できない場合、バイナリには古い認証情報を含むディスク上のメタデータ ファイルをアップデートする必要があることを示すエラー メッセージが表示されます。 任意のテキストエディタを使用してメタデータ ファイルを更新できます。
暗号化のキー へのロールベース アクセスを使用する場合、
/<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadataファイルには有効な認証情報が含まれません。次のいずれかのアクションを実行します。
/<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadataファイルを更新します。 空のroleIdを使用します。 フィールドと フィールドの暗号化のキーにアクセスできる IAM ロールに基づいて一時的な認証情報を提供します。accessKeyIdsecretAccessKey{ "accessKeyId": "TemporaryAccessKeyId", "secretAccessKey": "TemporarySecretAccessKey", "roleId": "", "region": "us-east-1" } 次のオプションを使用してKMIPプロキシ スタンドアロン バイナリを起動します。
awsAccessKeyawsSecretAccessKeyawsSessionTokenawsRegion
IAM ロールに基づいて一時的な認証情報を生成するには、 Amazon Web Services のドキュメント を参照してください。
手順
AtlasBackup で、プロジェクトの の詳細に移動します。
まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。
サイドバーで、 Database見出しの下のBackupをクリックします。
バックアップの詳細が表示されます。
クラスター リンクをクリックします。
KMIP プロキシ スタンドアロンをダウンロードします。
Preparing Snapshot Downloadモーダルで、 Download KMIP Proxyをクリックし、ご使用のオペレーティング システム用のバイナリを選択します。
download KMIP Proxy Standaloneリンクにアクセスするには、次のいずれかの手順を実行することもできます。
[Restores & Downloads] タブをクリックします。
Atlas で、プロジェクトの [Advanced] ページに移動します。
まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。
サイドバーで、 Security見出しの下のDatabase & Network Accessをクリックします。
サイドバーで、Advanced をクリックします。
詳細ページが表示されます。
リンクはEncryption at Rest using your Key Managementセクションに表示されます。
KMIP プロキシ スタンドアロンを起動します。
ターミナルまたはコマンド プロンプト ウィンドウを開きます。
指定されたパラメーターを使用して次のコマンドを呼び出します。
kmipProxyStandalone -awsAccessKeyId <accessKey> -awsSecretAccessKey <secretAccessKey> \ -awsSessionToken <token> -awsRegion <region> -cloudProvider aws \ -dbpath <dbpath> -kmipPort <kmipPort> -mongodPort <mongodPort> Parameter説明awsAccessKeyカスタマー マスター キーにアクセスするための権限を持つIAMアクセス キー ID。
/<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadataファイルにaccessKeyIdを指定しなかった場合にのみ必要です。awsSecretAccessKeyカスタマー マスター キーにアクセスする権限を持つIAMシークレット アクセス キー 。
/<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadataファイルにsecretAccessKeyを指定しなかった場合にのみ必要です。awsSessionToken一時的なAmazon Web Servicesのセキュリティ認証情報を付与するときに使用するトークン。
awsRegionAmazon Web Services Amazon Web Servicesカスタマー マスター キーが存在する Amazon Web Services のリージョン。
/<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadataファイルにregionを指定しなかった場合にのみ必要です。cloudProviderクラウド サービス プロバイダー。 値は
awsである必要があります。dbpathプロキシを作成する
mongodデータディレクトリへのパス。kmipPortKMIPプロキシを実行するポート。
mongodPortmongodを実行するポート。kmipProxyStandalone -cloudProvider <azure|gcp> -dbpath <dbpath> \ -kmipPort <kmipPort> -mongodPort <mongodPort> Parameter説明cloudProviderクラウド サービス プロバイダー。 有効な値は
azureまたはgcpです。dbpathプロキシを作成する
mongodデータディレクトリへのパス。kmipPortKMIPプロキシを実行するポート。
mongodPortmongodを実行するポート。
KMIPプロキシ スタンドアロンは、 localhostのKMIP証明書を生成し、それをdbpathに書込みます。
mongodプロセスを開始します。
指定されたパラメーターを使用して次のコマンドを呼び出します。
注意
このコマンドは、Atlas Enterprise カスタマーでのみ使用できます。
mongod --dbpath <dbpath> --port <mongodPort> --enableEncryption --kmipPort <kmipPort> --kmipServerName 127.0.0.1 --kmipServerCAFile <dbpath>/kmipCA.pem --kmipActivateKeys false --kmipClientCertificateFile <dbpath>/kmipClient.pem
Parameter | 説明 |
|---|---|
|
|
|
|
| KMIPサーバーがリッスンするポート。 |
| KMIPサーバーへの安全なクライアント接続を検証するために使用される CA ファイルへのパスです。 |
| MongoDB サーバー v 5.2以降の場合、MongoDB サーバーのキーを有効にするか無効にするかを指定するフラグ。 MongoDB サーバーを起動するとき、このパラメータの値は |
| KMIPサーバーに対して MongoDB を認証するために使用されるクライアント証明書へのパスです。 |
mongodは127.0.0.1にバインドされたKMIPサーバーとして機能し、指定されたkmipPort上で実行されます。
mongodプロセスに接続します。
データファイルにアクセスするには、 mongosh 、 MongoDB Compass 、またはmongodumpや mongorestore などの標準ユーティリティを介してmongodに接続します。