Amazon Web Services KMS 에서 생성하고, 소유하고, 관리 고객 관리형 키( CMK )를 사용하여 Atlas 에 미사용 데이터 암호화하는 것 외에도, 모든 트래픽을 구성하여 또 다른 보안 계층을 추가할 수 있습니다. AWS PrivateLink 사용하기 위한 Amazon Web Services KMS .
이 페이지에서는 Amazon Web Services KMS 에서 AWS PrivateLink 설정하다 하여 Atlas 와 Amazon Web Services KMS 간의 모든 트래픽이 Amazon Web Services 의 비공개 네트워크 인터페이스를 통해 발생하도록 하는 방법을 설명합니다.
고려 사항
PrivateLink를 통해 AWS KMS 사용하여 미사용 데이터 암호화를 활성화 전에 다음 사용 사례, 이점, 제한 사항 및 전제 조건을 검토 .
사용 사례
Atlas 배포서버 단일 cloud 서비스 제공자 에 있다고 가정해 보겠습니다. 이제 Amazon Web Services KMS 에 대한 모든 액세스 cloud 제공자의 비공개 네트워킹 인프라를 통해 이루어져야 합니다. 이 페이지에서는 Atlas 프로젝트 에 대해 비공개 엔드포인트 연결을 활성화 단계를 안내합니다.
혜택
비공개 네트워킹을 통해 Amazon Web Services KMS 사용하여 미사용 데이터 암호화를 구성할 수 있습니다. 이 구성을 사용하면 Amazon Web Services KMS 에 대한 모든 트래픽이 설정하다 의 비공개 엔드포인트 통과할 수 있으며, Amazon Web Services KMS 공용 인터넷 또는 공용 IP 주소에 노출되는 것을 방지할 수 있습니다. 또한 이 구성을 사용하면 허용된 IP 주소를 유지하면서 모든 Amazon Web Services KMS 트래픽을 Amazon Web Services의 비공개 네트워크 내에 유지하여 데이터 보안을 강화할 필요가 없습니다.
제한 사항
Atlas 단일 클라우드 배포에 대해서만 비공개 네트워킹을 통해 Amazon Web Services KMS 사용하는 미사용 데이터 암호화를 지원합니다.
Atlas
ACTIVE상태의 프로젝트에 대해서만 비공개 네트워킹을 통해 Amazon Web Services KMS 사용하는 미사용 데이터 암호화를 지원합니다.
전제 조건
MongoDB 프로젝트의 AWS KMS에서 고객 관리형 키를 활성화하려면 다음을 수행해야 합니다.
M10 이상의 클러스터를 사용해야 합니다.
충분한 권한이 있는 AWS IAM 역할이 있어야 합니다. Atlas에는 키로 다음 조치를 수행할 수 있는 권한이 있어야 합니다:
참고
AWS KMS 키를 생성한 IAM 역할 대신 다른 AWS 계정의 AWS IAM 역할과 함께 AWS KMS 키를 사용하려면 충분한 권한이 있는지 확인합니다.
외부 AWS 계정을 포함하도록 AWS KMS 키 아래에 키 정책 설명(statement)을 추가합니다.
외부 AWS 계정의 IAM 역할에 대한 IAM 인라인 정책을 추가합니다.
IAM 역할 및 고객 마스터 키에 대한 종합적인 설명은 AWS 설명서를 참조하세요.
위 권한을 확인한 후 일반적인 단계에 따라 Atlas에서 KMS 설정을 구성할 수 있습니다. 단, 다음과 같은 경우는 예외입니다.
<span tabindex=""0"" class=""leafygreen-ui-vm4wms"">AWS</span> <span tabindex=""0"" class=""leafygreen-ui-vm4wms"">KMS</span> 키 ID 필드에 마스터 키 ID (예:
12345678-1234-1234-1234-12345678) 대신에 <span tabindex=""0"" class=""leafygreen-ui-vm4wms"">AWS</span> <span tabindex=""0"" class=""leafygreen-ui-vm4wms"">KMS</span> 키의 전체 <span tabindex=""0"" class=""leafygreen-ui-vm4wms"">ARN</span> (예:arn:aws:kms:eu-west-2:111122223333:key/12345678-1234-1234-1234-12345678)을 제공해야 합니다.
IAM 역할을 만드는 방법을 알아보려면 AWS 설명서에서 IAM 역할을 참조하세요.
Atlas는 미사용 데이터 암호화가 활성화된 프로젝트의 모든 클러스터에 대해 동일한 IAM 역할 및 AWS KMS 키 설정을 사용합니다.
Amazon Web Services KMS 구성에 필요한 경우 Atlas IP 주소 및 클러스터 노드의 공용 IP 주소 또는 DNS 호스트 이름에서 액세스 허용하여 Atlas KMS 와 통신할 수 있도록 합니다. 정책 문서 에 IP 주소 주소 연산자를 구성하여 managed IAM 역할 정책에 IP 주소를 포함해야 합니다. 노드 IP 주소가 변경되는 경우 연결이 중단되지 않도록 구성을 업데이트 해야 합니다.
절차
프로젝트의 암호화 키에 역할 기반 액세스 활성화
AtlasGo Atlas 에서 프로젝트 의 Advanced 페이지로 고 (Go) 합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Advanced를 클릭합니다.
고급 페이지가 표시됩니다.
Authorize a new IAM role 링크를 클릭하여 미사용 데이터 암호화를 위해 AWS KMS 키에 액세스할 수 있도록 Atlas에 AWS IAM 역할을 부여합니다.
미사용 데이터 암호화를 위한 AWS KMS 키에 액세스하려면, AWS CLI를 사용하여 새 역할 생성 절차를 따라 새로운 AWS IAM 역할을 생성합니다. 기존의 AWS IAM 역할을 승인하려면 기존 역할에 신뢰 관계 추가 절차를따르세요.
AWS 콘솔 또는 CLI를 통해 AWS IAM 역할에 액세스 정책을 추가하십시오. 자세한 내용은 IAM 정책 관리하기를 참조하세요.
참고
이 정책 문서는 MongoDB의 AWS 주체가 고객의 KMS 키를 암호화 및 복호화 작업에 사용할 수 있도록 허용합니다. Atlas 주체는 비밀이 아니며 모든 Atlas 고객에게 사용됩니다. 이 계정은 매우 제한적이고 목적이 한정된 AWS 계정이며, IAM 사용자 외에는 리소스가 없습니다. 정책 문서의 ExternalId는 각 Atlas 프로젝트마다 고유하지만 비밀이 아닙니다. ExternalId는 교차 컨텍스트(혼동된 대리인) 취약성을 완화하는 데 사용됩니다. 모든 고객의 키에 액세스하기 위해 공통 주체를 사용하는 Atlas의 방식은 여기에서 설명된 Amazon의 권장 액세스 방식입니다.
미사용 데이터 암호화에 대한 액세스 정책은 다음과 유사합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:123456789012:key/12x345y6-7z89-0a12-3456-xyz123456789" ] } ] }
cloudProviderAccess 엔드포인트로 POST 요청을 전송합니다.
API 엔드포인트를 사용하여 새 AWS IAM 역할을 생성합니다. Atlas는 AWS 계정 인증에 이 역할을 사용합니다.
다음 단계에서 사용할 수 있도록 반환된 필드 값 atlasAWSAccountArn 및 atlasAssumedRoleExternalId를 준비해 두세요.
AWS IAM 역할 신뢰 정책을 수정합니다.
AWS 관리 콘솔에 로그인합니다.
Identity and Access Management (IAM) 서비스로 이동합니다.
왼쪽 탐색에서 Roles 을 선택합니다.
역할 목록에서 Atlas 액세스에 사용하려는 기존 IAM 역할을 클릭합니다.
0}Trust Relationships 탭을 선택합니다.
Edit trust relationship 버튼을 클릭합니다.
Policy Document를 편집합니다. 다음 내용이 포함된 새
Statement객체를 추가합니다.참고
이 정책 문서는 MongoDB의 AWS 주체가 고객의 KMS 키를 암호화 및 복호화 작업에 사용할 수 있도록 허용합니다. Atlas 주체는 비밀이 아니며 모든 Atlas 고객에게 사용됩니다. 이 계정은 매우 제한적이고 목적이 한정된 AWS 계정이며, IAM 사용자 외에는 리소스가 없습니다. 정책 문서의
ExternalId는 각 Atlas 프로젝트마다 고유하지만 비밀이 아닙니다.ExternalId는 교차 컨텍스트(혼동된 대리인) 취약성을 완화하는 데 사용됩니다. 모든 고객의 키에 액세스하기 위해 공통 주체를 사용하는 Atlas의 방식은 여기에서 설명된 Amazon의 권장 액세스 방식입니다.참고
1단계에서 강조 표시된 줄을 API 호출에서 반환된 값으로 바꿉니다.
{ "Version": "2020-03-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "<atlasAWSAccountArn>" }, "Action:" "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "<atlasAssumedRoleExternalId>" } } } ] } Update Trust Policy 버튼을 클릭합니다.
새 IAM 역할에 권한을 부여합니다.
API 엔드포인트를 사용하여 새로운 IAM 가정 역할 ARN을 승인하고 구성합니다. API 호출이 성공하면 AWS를 사용하는 Atlas 서비스를 구성할 때 roleId 값을 사용할 수 있습니다.
프로젝트에서 역할 권한 부여를 통해 AWS KMS 활성화
PATCH 요청을 encodingAtRest API 엔드포인트로 전송하여 권한이 부여된 AWS IAM 역할 ID로 awsKms.roleId 필드를 업데이트합니다.
예시
curl --user "{public key}:{private key}" --digest \ --header "Accept: application/json" \ --header "Content-Type: application/json" \ --include \ --request PATCH \ "https://cloud.mongodb.com/api/atlas/v1.0/groups/{groupId}/encryptionAtRest?pretty=true&envelope=true" \ --data ' { "awsKms": { "enabled": true, "roleId": "<roleId>", "customerMasterKeyID": "<master-key-id>", "region": "<aws-region>" } }'
프로젝트 의 암호화 키 에 대한 역할 기반 액세스 활성화 후 프로젝트 에 대한 비공개 엔드포인트 연결 활성화 및 설정에 따라 프로젝트에 대한 비공개 엔드포인트 연결을 활성화 .
프로젝트의 암호화 키를 역할 기반 액세스로 전환
Amazon Web Services Atlas 내에서 Amazon Web Services KMS 암호화 키에 대한 액세스 관리하기 위해 IAM 사용자 대신 IAM 역할을 사용해야 합니다. 처음에 IAM 사용자 자격 증명 사용하여 Amazon Web Services KMS 키에 액세스 프로젝트 구성한 경우, 다음 절차에 따라 역할 기반 액세스 로 전환하세요.
중요
암호화 키를 역할 기반 액세스로 전환하면 해당 프로젝트의 암호화 키에 대해 역할 기반 액세스 구성을 취소하고 자격 증명 기반 액세스로 되돌릴 수 없습니다.
AtlasGo Atlas 에서 프로젝트 의 Advanced 페이지로 고 (Go) 합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Advanced를 클릭합니다.
고급 페이지가 표시됩니다.
미사용 시 미사용 데이터 암호화를 위해 AWS KMS 키에 액세스할 수 있도록 Atlas에 AWS IAM 역할을 승인하고 할당하십시오.
미사용 데이터 암호화를 위한 AWS KMS 키에 액세스하려면, AWS CLI를 사용하여 새 역할 생성 절차를 따라 새로운 AWS IAM 역할을 생성합니다. 기존의 AWS IAM 역할을 승인하려면 기존 역할에 신뢰 관계 추가 절차를따르세요.
Atlas 관리 API 사용하여 암호화 키 관리 업데이트 하려면 위 절차에 설명된 것과 동일한 단계를 사용합니다.
프로젝트에 대한 비공개 엔드포인트 연결 활성화 및 설정
Amazon Web Services KMS 에서 비공개 네트워킹을 활성화 하고 비공개 엔드포인트를 설정하다 하려면 다음을 수행해야 합니다.
AtlasGo Atlas 에서 프로젝트 의 Advanced 페이지로 고 (Go) 합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Advanced를 클릭합니다.
고급 페이지가 표시됩니다.
각 리전 에서 암호화 키 복제합니다.
Amazon Web Services KMS 대시보드에 로그인합니다.
Atlas UI 에서 Copy 을 클릭하여 고객 마스터 키 ID 저장합니다.
Amazon Web Services KMS 대시보드 에서 원하는 모든 리전에 키를 복제합니다. 자세한 학습 은 Amazon Web Services 설명서를 참조하세요.
Atlas UI 에서 다음을 클릭합니다. Continue
비공개 엔드포인트 생성하려는 Amazon Web Services 리전을 지정합니다.
드롭다운에서 Amazon Web Services 리전을 선택합니다.
Continue를 클릭합니다.
Atlas 이러한 리전에 비공개 엔드포인트 자동으로 생성하여 비공개 네트워킹을 사용하여 연결할 수 있도록 합니다.
Atlas 비공개 엔드포인트의 현재 상태를 반영하는 데 최대 3분이 걸릴 수 있습니다. 비공개 엔드포인트의 상태는 다음 중 하나일 수 있습니다.
활성 | 비공개 엔드포인트가 승인되었으며 Atlas 에서 사용할 수 있거나 사용 중임을 나타냅니다. |
실패하였습니다. | 비공개 엔드포인트 생성에 실패했음을 나타냅니다. |
비공개 네트워킹을 활성화합니다.
엔드포인트에 PATCH 요청 encryptionAtRest 보내고 requirePrivateNetworking 플래그 값을(으)로 설정하다 true.
필수 매개변수에 대해 자세히 학습 1개의 프로젝트에 고객 관리형 키를 사용하여 미사용 데이터 암호화를 위한 구성 업데이트를 참조하세요.
예시
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request PATCH "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/" \ --data ' { "awsKms": { "accessKeyID": "019dd98d94b4bb778e7552e4", "customerMasterKeyID": "string", "enabled": true, "region": "US_EAST_1", "roleId": "32b6e34b3d91647abb20e7b8", "secretAccessKey": "string", "requirePrivateNetworking": true } }'
비공개 엔드포인트를 생성합니다.
Atlas 관리 API 사용하여 Amazon Web Services KMS와 통신할 비공개 엔드포인트를 생성합니다.
Atlas 에서 비공개 엔드포인트를 생성할 Amazon Web Services POST 리전 있는 엔드포인트로 요청 보냅니다.encryptionAtRest Atlas 에서 비공개 엔드포인트를 생성하려는 각 리전 에 대해 별도의 요청 보내야 합니다.
예시
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints" \ --data ' { "regionName": "US_EAST_1" }'
비공개 엔드포인트를 생성한 후에는 다음과 같은 제한 사항이 적용.
Atlas 는 승인된 비공개 엔드포인트 가 있는 리전에서만 모든 새 클러스터를 생성합니다.
Atlas 는 승인된 비공개 엔드포인트 가 있는 리전에서만 기존 클러스터에 대한 추가 노드를 배포합니다.
요청 상태를 확인합니다.
비공개 엔드포인트의 상태를 확인하려면 encryptionAtRest 엔드포인트에 GET 요청 을 보냅니다 .
예시
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints"
{ "links": [ { "href": "https://cloud.mongodb.com/api/atlas", "rel": "self" } ], "results": [ { "cloudProvider": "AWS", "id": "24-hexadecimal-digit-string", "privateEndpointConnectionName": "string", "regionName": "US_EAST_1", "status": "INITIATING", } ], "totalCount": 1 }
Atlas 비공개 엔드포인트의 현재 상태를 반영하는 데 최대 3분이 걸릴 수 있습니다. 비공개 엔드포인트의 상태는 다음 중 하나일 수 있습니다.
활성 | 비공개 엔드포인트가 승인되었으며 Atlas 에서 사용할 수 있거나 사용 중임을 나타냅니다. |
실패하였습니다. | 비공개 엔드포인트 생성에 실패했음을 나타냅니다. |
프로젝트 에 대한 고객 키 관리 활성화 하고 비공개 엔드포인트 설정하다 한 후, Atlas cluster 에 대한 고객 키 관리 활성화에 따라 프로젝트 의 각 Atlas 클러스터에 대한 고객 키 관리를 활성화 .
Atlas 클러스터에 대한 고객 키 관리 활성화
프로젝트의 암호화 키에 역할 기반 액세스를 활성화한 후에는 암호화하려는 데이터가 포함된 각 Atlas cluster 에 대해 고객 키 관리 활성화 해야 합니다.
참고
해당 프로젝트의 클러스터에 대한 고객 키 관리를 사용하려면 Project Owner 역할이 있어야 합니다.
새 클러스터의 경우, 클러스터를 만들 때 자체 암호화 키 관리 설정을 Yes로 전환합니다.
기존 클러스터의 경우:
AtlasGo Atlas 에서 프로젝트 의 Clusters 페이지로 고 (Go) 합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 원하는 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Projects 메뉴에서 원하는 프로젝트를 선택합니다.
아직 표시되지 않은 경우 사이드바에서 Clusters를 클릭합니다.
Clusters(클러스터) 페이지가 표시됩니다.
프로젝트에서 고객 관리형 키 비활성화하기
프로젝트 에 대해 CMK 비활성화하려면 상태 에 관계없이 먼저 프로젝트 와 연결된 모든 비공개 엔드포인트 제거 해야 합니다. 활성 비공개 엔드포인트 와 연결된 프로젝트 에 대해 CMK 비활성화하려고 하면 Atlas 에서 오류를 표시합니다.
프로젝트 의 모든 비공개 엔드포인트 제거 후에는 프로젝트 의 각 클러스터 에서 고객 키 관리 비활성화해야 프로젝트 에서 해당 기능 비활성화할 수 있습니다.
경고
Atlas 프로젝트 내에서 고객 키 관리 비활성화하기 전에는 Atlas 프로젝트 의 클러스터 에서 사용하는 Amazon Web Services KMS 키를 비활성화하거나 삭제 하지 마세요. Atlas Amazon Web Services KMS 키에 액세스 할 수 없는 경우, 키가 암호화됨 모든 데이터에 액세스할 수 없게 됩니다.
프로젝트에 대한 새 엔드포인트 만들기
프로젝트 에 대한 비공개 엔드포인트 연결을 활성화 하고 설정하다 한 후에는 Atlas UI 및 Atlas 관리 API 에서 언제든지 엔드포인트를 추가할 수 있습니다.
AtlasGo Atlas 에서 프로젝트 의 Advanced 페이지로 고 (Go) 합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Advanced를 클릭합니다.
고급 페이지가 표시됩니다.
비공개 엔드포인트 생성하려는 리전을 지정합니다.
드롭다운에서 Amazon Web Services 리전을 선택합니다.
Continue를 클릭합니다.
Atlas 이러한 리전에 비공개 엔드포인트 자동으로 생성하여 비공개 네트워킹을 사용하여 연결할 수 있도록 합니다.
Atlas 비공개 엔드포인트의 현재 상태를 반영하는 데 최대 3분이 걸릴 수 있습니다. 비공개 엔드포인트의 상태는 다음 중 하나일 수 있습니다.
활성 | 비공개 엔드포인트가 승인되었으며 Atlas 에서 사용할 수 있거나 사용 중임을 나타냅니다. |
실패하였습니다. | 비공개 엔드포인트 생성에 실패했음을 나타냅니다. |
비공개 엔드포인트를 생성합니다.
Atlas 관리 API 사용하여 Amazon Web Services KMS와 통신할 비공개 엔드포인트를 생성합니다.
Atlas 에서 비공개 엔드포인트를 생성하려는 Amazon Web Services리전 POST 있는 엔드포인트로 요청 보냅니다.encryptionAtRest Atlas 에서 비공개 엔드포인트를 생성하려는 각 리전 에 대해 별도의 요청 보내야 합니다.
예시
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints" \ --data ' { "regionName": "US_EAST_1" }'
비공개 엔드포인트를 생성한 후에는 다음과 같은 제한 사항이 적용.
Atlas 는 승인된 비공개 엔드포인트 가 있는 리전에서만 모든 새 클러스터를 생성합니다.
Atlas 는 승인된 비공개 엔드포인트 가 있는 리전에서만 기존 클러스터에 대한 추가 노드를 배포합니다.
요청 상태를 확인합니다.
비공개 엔드포인트의 상태를 확인하려면 encryptionAtRest 엔드포인트에 GET 요청 을 보냅니다 .
예시
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints"
{ "links": [ { "href": "https://cloud.mongodb.com/api/atlas", "rel": "self" } ], "results": [ { "cloudProvider": "AWS", "id": "24-hexadecimal-digit-string", "privateEndpointConnectionName": "string", "regionName": "US_EAST_1", "status": "INITIATING", } ], "totalCount": 1 }
Atlas 비공개 엔드포인트의 현재 상태를 반영하는 데 최대 3분이 걸릴 수 있습니다. 비공개 엔드포인트의 상태는 다음 중 하나일 수 있습니다.
활성 | 비공개 엔드포인트가 승인되었으며 Atlas 에서 사용할 수 있거나 사용 중임을 나타냅니다. |
실패하였습니다. | 비공개 엔드포인트 생성에 실패했음을 나타냅니다. |
비공개 엔드포인트 연결 거부 또는 제거
Atlas UI 및 Atlas 관리 API 에서 비공개 엔드포인트 연결을 제거 할 수 있습니다.
AtlasGo Atlas 에서 프로젝트 의 Advanced 페이지로 고 (Go) 합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Advanced를 클릭합니다.
고급 페이지가 표시됩니다.
비공개 엔드포인트를 성공적으로 제거 DELETE 하려면 Atlas 관리 API 엔드포인트에 요청 보내고 삭제 하려는 프로젝트 및 비공개 엔드포인트의 ID 를 지정합니다. 삭제 하려는 비공개 엔드포인트의 ID 를 조회 하려면 GET Atlas 관리 API 에 요청 전송하여 1개의 제공자 엔드포인트에 대해 1개의 비공개 엔드포인트 서비스를 반환합니다.
예시
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API --header "Content-Type: application/json" \ --include \ --request DELETE "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/ privateEndpoints/{endpointId}" \ --data ' { "cloudProvider": "AWS", "regions": [ "string" ] }'
Atlas 관리 API 사용하여 비공개 엔드포인트를 삭제 하면 비공개 엔드포인트가 DELETING 상태로 전환되고 Atlas 비공개 엔드포인트를 삭제합니다.
Amazon Web Services UI 에서 활성 비공개 엔드포인트를 제거 하거나 거부하면 Atlas 동일한 리전 에서 새 비공개 엔드포인트 다시 생성을 자동으로 시도합니다.
Atlas 가 새 비공개 엔드포인트를 만들려고 시도하는 동안 거부하거나 제거한 비공개 엔드포인트의 상태는 PENDING_RECREATION (으)로 전환되고 Atlas 가 생성을 시도하는 새 엔드포인트는 INITIATING 상태 가 됩니다. 새 비공개 엔드포인트를 만든 후에는 승인해야 합니다.
비공개 엔드포인트 및 상태 보기
Atlas UI 및 Atlas 관리 API 에서 다양한 리전의 비공개 엔드포인트 와 해당 상태를 볼 수 있습니다.
AtlasGo Atlas 에서 프로젝트 의 Advanced 페이지로 고 (Go) 합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Advanced를 클릭합니다.
고급 페이지가 표시됩니다.
Atlas Administration API 에 GET 요청 전송하여 Atlas Administration API 에서 encryptionAtRest 비공개 엔드포인트와 상태 ID 볼 수 있습니다. 경로.
예시
1개의 프로젝트에 대해 모든 비공개 엔드포인트 반환
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API --header "Content-Type: application/json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints/"
각 비공개 엔드포인트는 다음 상태 중 하나일 수 있습니다.
활성 | 비공개 엔드포인트가 승인되었으며 Atlas 에서 사용할 수 있거나 사용 중임을 나타냅니다. |
실패하였습니다. | 비공개 엔드포인트 생성에 실패했음을 나타냅니다. |
프로젝트에 대한 비공개 엔드포인트 연결 비활성화
프로젝트 의 비공개 엔드포인트 연결을 비활성화하려면 먼저 상태 에 관계없이 프로젝트 와 연결된 모든 비공개 엔드포인트 제거 해야 합니다. 프로젝트 활성 비공개 엔드포인트 와 연결된 경우 Atlas 프로젝트 에 대한 비공개 엔드포인트 연결을 비활성화하지 않습니다.
프로젝트 의 모든 비공개 엔드포인트 제거 후, Atlas UI 와 Atlas 관리 API 사용하여 프로젝트 에 대한 비공개 엔드포인트 연결을 비활성화할 수 있습니다.
AtlasGo Atlas 에서 프로젝트 의 Advanced 페이지로 고 (Go) 합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Advanced를 클릭합니다.
고급 페이지가 표시됩니다.
비공개 엔드포인트 연결을 비활성화하려면 requirePrivateNetworking 부울 플래그 값을 false로 설정하다 엔드포인트 에 PATCH 요청 보냅니다.
예시
{ "awsKms": { "accessKeyID": "019dd98d94b4bb778e7552e4", "customerMasterKeyID": "string", "enabled": true, "region": "US_EAST_1", "roleId": "32b6e34b3d91647abb20e7b8", "secretAccessKey": "string" "requirePrivateNetworking": false } }
관련 주제
Atlas 클러스터를 배포할 때 키 관리를 사용하여 저장된 암호화를 활성화하려면 자체 암호화 키 관리를 참조하세요.
기존 Atlas 클러스터에 대해 키 관리를 사용하여 저장된 암호화를 활성화하려면 저장된 암호화 활성화를 참조하세요.
Atlas의 키 관리를 사용한 저장 데이터 암호화에 대해 자세히 알아보려면 고객 키 관리를 사용한 저장 데이터 암호화를 참조하세요.
MongoDB 미사용 데이터 암호화에 대한 자세한 내용은 MongoDB 서버 문서의 미사용 데이터 암호화를 참조하세요.
클라우드 백업을 사용한 미사용 데이터 암호화에 대해 자세히 알아보려면 스토리지 엔진 및 클라우드 백업 암호화를 참조하세요.