Para agentes de IA: um índice de documentação está disponível em https://www.mongodb.com/pt-br/docs/llms.txt — as versões de markdown de todas as páginas estão disponíveis anexando .md a qualquer caminho de URL.
Menu Docs

Criptografia em repouso usando o gerenciamento de chaves de cliente

Importante

Recurso indisponível nos clusters Flex

Os clusters Flex não aceitam esse recurso no momento. Para saber mais, consulte Limitações do Atlas Flex.

Por padrão, o Atlas criptografa todo o armazenamento do cluster e volumes de snapshot em repouso usando o Advanced Encryption Standard (AES)-256. Seu provedor de nuvem automatiza essa criptografia de disco e gerencia as chaves de criptografia. Você pode adicionar outra camada de segurança ativando a criptografia em descanso no nível do banco de dados com chaves gerenciadas pelo cliente. Você possui e controla as chaves de criptografia, que são armazenadas no KMS do seu provedor de nuvem.

Configurar criptografia em descanso usando seu gerenciamento de chaves incorre em cobranças adicionais para o projeto Atlas. Para saber mais, consulte Segurança avançada.

Observação

O Modelo de responsabilidade compartilhada do MongoDB Atlas define os direitos complementares do MongoDB e de seus clientes em manter um ambiente de dados seguro e resiliente. Nesse framework, o MongoDB gerencia a segurança e a integridade operacional da plataforma subjacente, enquanto os clientes são responsáveis pelas políticas de configuração, gerenciamento e dados de suas implantações específicas. Para obter uma análise detalhada da propriedade em segurança e segurança operacional, consulte Modelo de responsabilidade compartilhada.

Para forçar que as chaves gerenciadas pelo cliente para criptografia em repouso sejam habilitadas em todos os clusters e implantações de pesquisa dedicadas em um projeto, use Políticas de recursos do Atlas. Você pode usar políticas de recursos para exigir chave mestra do cliente antes de criar ou alterar clusters ou implantações de pesquisa.

Você pode usar um ou mais dos seguintes fornecedores de gerenciamento de chaves do cliente ao configurar o Encryption at Rest para o projeto Atlas:

Após configurar pelo menos um provedor de gerenciamento de chave para o projeto Atlas, você pode habilitar o gerenciamento de chave do cliente para cada cluster do Atlas para o qual eles exigem criptografia. O fornecedor de gerenciamento de chaves não precisa corresponder ao fornecedor de serviços de nuvem do cluster.

Observação

Quando você habilita ou desabilita o gerenciamento de chaves do cliente , o Atlas executa uma sincronização inicial para criptografar novamente os dados do cluster. Ele também reconstrói índices MongoDB Search e MongoDB Vector Search no cluster.

Alternativamente, para projetos com clusters M10 ou superiores do Atlas implantados apenas nas regiões do Azure, você pode usar a Atlas Administration API para criar automaticamente o Azure Private Link no seu AKV que permite que o Atlas se comunique com segurança com seu AKV pelas interfaces de rede privada do Azure. Para saber mais, consulte Gerenciar chaves do cliente com o Azure Key Vault.

O Atlas não pode girar chaves de criptografia gerenciadas pelo cliente. Consulte a documentação do seu provedor de gerenciamento de chaves para obter orientações sobre rotação de chaves. Quando você define o gerenciamento de chave de cliente em um projeto, o Atlas cria um alerta de rotação de chave de90dias.

Se o seu provedor KMS ficar indisponível, seu cluster continuará funcionando enquanto ele ainda estiver em operação. Se você reiniciar seu cluster sem um provedor KMS, ele será desativado.

Para saber mais sobre recomendações de criptografia, incluindo os níveis de classificação de dados e os tipos de criptografia a serem usados, consulte Recomendações para o Atlas Data Encryption no Atlas Architecture Center.

Observação

Para cluster com criptografia em descanso usando chaves gerenciadas pelo cliente, a validação de dados do Atlas exige acesso adicionais ao seu KMS para descriptografar dados. Para aprender mais, consulte Uso do KMS de validação de dados.

Para configurar o gerenciamento de chave de cliente, você deve ter Project Owner acesso ao projeto.

Os usuários com acesso Organization Owner devem se adicionar ao projeto como um Project Owner.

A criptografia em descanso usando o Key Management requer credenciais válidas do provedor de gerenciamento de chaves e uma chave de criptografia. Para fornecer esses detalhes e ativar o gerenciamento de chaves do cliente:

1
  1. Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.

  3. Na barra lateral, clique em Database & Network Access sob o título Security.

  4. Na barra lateral, clique em Advanced.

    A página Avançado é exibida.

2
3

Você pode ativar opcionalmente a criptografia para todos os dados nos nós de pesquisa. Você também pode habilitar este recurso mais tarde.

Para saber mais, consulte Ativar o gerenciamento de chaves do cliente para nós de pesquisa.

4
5
6

Para saber mais, consulte Permitir acesso do plano de controle do Atlas.

Dependendo da sua configuração do KMS, talvez seja necessário adicionar endereços IP do plano de controle do Atlas para habilitar a criptografia em descanso do seu projeto, de modo que o Atlas possa se comunicar com o seu KMS.

Para habilitar a comunicação entre Atlas e KMS:

1

O endpoint da API retorna uma lista de endereços IP de entrada e saída do plano de controle do Atlas em CIDR categorizados por provedor de nuvem e região. Para saber mais, consulte os pré-requisitos para gerenciar chaves de cliente com AWS, Azure e GCP.

2

Consulte os pré-requisitos para gerenciar chaves de cliente com AWS, Azure e GCP para obter mais informações.

Depois de configurar o Atlas com o gerenciamento de chaves do cliente, você deve habilitar o gerenciamento de chaves do cliente para cada cluster do Atlas que tenha dados que você deseja criptografar.

Observação

Você deve ter a role Project Owner para habilitar o gerenciamento de chaves do cliente para clusters nesse projeto.

Para novos clusters:

1

Alterne a configuração Manage your own encryption keys para Yes no formulário de configuração do cluster.

2
  1. Clique em Review Changes.

  2. Revise suas alterações e clique em Apply Changes para distribuir seu cluster.

3

Dependendo da configuração do Gerenciamento de Chaves, talvez seja necessário adicionar endereços IP do nó do Atlas Cluster à lista de acesso KMS do provedor de nuvem, para que o cluster possa se comunicar com o KMS. Para habilitar a comunicação entre o cluster e o KMS:

  1. Envie uma solicitação GET para o ponto de extremidade ipAddresses. O ponto de extremidade da API returnAllIpAddresses retorna uma lista de endereços IP dos novos nós de cluster, semelhante à seguinte:

    {
    "groupId": "xxx", // ObjectId
    "services": {
    "clusters": [
    {
    "clusterName": "Cluster0",
    "inbound": [
    "3.92.113.229",
    "3.208.110.31",
    "107.22.44.69"
    ],
    "outbound": [
    "3.92.113.229",
    "3.208.110.31",
    "107.22.44.69"
    ]
    }
    ]
    }
    }
  2. Adicione os endereços IP retornados à lista de acesso IP do seu provedor de nuvem. Você deve modificar sua lista de acesso IP antes que o plano de provisionamento seja revertido. O cluster tenta o provisionamento por até três dias antes que o plano de provisionamento seja revertido devido a restrições de acesso ao IP.

    Consulte os pré-requisitos para gerenciar chaves de cliente com AWS, Azure e GCP para obter mais informações.

    Observação

    Se precisar de mais tempo para atualizar a lista de acesso IP, você pode:

    • Provisionar o cluster sem Encryption at rest e habilite-o depois de atualizar a lista de acesso IP.

    • Configure uma lista de acesso IP mais inclusiva no Serviço de Gerenciamento de Chaves do seu fornecedor de nuvem, inicie o cluster com Criptografia em Repouso e modifique a lista de acesso IP.

Para clusters existentes:

1
  1. Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.

  3. Na barra lateral, clique em Clusters sob o título Database.

A página Clusters é exibida.

2

Para o cluster que contém os dados que você deseja criptografar, clique no botão e selecione Edit Configuration.

3
  1. Expanda o painel Additional Settings.

  2. Alterne a configuração Manage your own encryption keys para Yes.

  3. Verifique o status da configuração Require Private Networking para seu cluster.

    Se você configurou a criptografia em repouso usando CMK (Over Private Networking) para Atlas no nível do projeto, o status é Active. Se você não configurou nenhuma conexão de endpoint privado para seu projeto, o status será Inactive.

4
  1. Clique em Review Changes.

  2. Revise suas alterações e clique em Apply Changes para atualizar seu cluster.

Ao configurar o gerenciamento de chaves de cliente para o seu projeto, você também pode habilitar a criptografia com o gerenciamento de chaves de cliente para seus nós de pesquisa. Isso garante que suas cargas de trabalho do MongoDB Search e do MongoDB Pesquisa Vetorial, incluindo índices, sejam totalmente criptografadas com suas chaves gerenciadas pelo cliente.

Esse recurso está disponível em todos os provedores KMS.

Para habilitar a criptografia de dados do nó de pesquisa com chaves gerenciadas pelo cliente:

1
  1. Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.

  3. Na barra lateral, clique em Database & Network Access sob o título Security.

  4. Na barra lateral, clique em Advanced.

    A página Avançado é exibida.

2

Se você ainda não configurou o Gerenciamento de Chaves do Cliente, siga as etapas em Configurar o Atlas com o Gerenciamento de Chaves do Cliente.

Caso contrário, clique no botão Edit ao lado de Encryption at Rest using your Key Management.

3
4

Depois de ativar a Criptografia de Dados do Nó de Pesquisa no nível do projeto, o Atlas a ativa no nível do cluster quando você configura a criptografia do cluster para quaisquer clusters novos ou existentes com Nós de Pesquisa. O Atlas criptografa os nós de pesquisa usando a chave gerenciada pelo cliente e reconstrói quaisquer índices de pesquisa. A duração deste processo depende do tamanho e do número de seus índices.

Observação

Se você desativar o Gerenciamento de Chaves do Cliente no nível do projeto ou se sua chave gerenciada pelo cliente se tornar inválida, o Atlas pausará seu cluster e removerá os Nós de Pesquisa, tornando as consultas ao banco de dados indisponíveis.

Quando você reativa o gerenciamento de chaves do cliente ou corrige sua configuração de chave, o Atlas retoma seu cluster, provisiona novos nós de pesquisa e executa uma sincronização inicial. A funcionalidade de pesquisa é retomada quando a sincronização inicial é concluída.

1

Você pode adicionar nós elegíveis a clusters M10+ ou aumentar o número de shards em seu cluster fragmentado.

2

Dependendo da configuração do Gerenciamento de Chaves, talvez seja necessário adicionar endereços IP do nó do Atlas Cluster à lista de acesso KMS do provedor de nuvem, para que o cluster possa se comunicar com o KMS. Para habilitar a comunicação entre o cluster e o KMS:

  1. Envie uma solicitação GET para o ponto de extremidade ipAddresses. O ponto de extremidade da API returnAllIpAddresses retorna uma lista de endereços IP dos novos nós ou fragmentos do cluster, semelhante à seguinte:

    {
    "groupId": "xxx", // ObjectId
    "services": {
    "clusters": [
    {
    "clusterName": "Cluster0",
    "inbound": [
    "3.92.113.229",
    "3.208.110.31",
    "107.22.44.69"
    ], // List<String>
    "outbound": [
    "3.92.113.229",
    "3.208.110.31",
    "107.22.44.69"
    ]
    }
    ]
    }
    }
  2. Adicione os endereços IP retornados à lista de acesso IP do seu provedor de nuvem. Você deve modificar sua lista de acesso IP antes que o plano de provisionamento seja revertido. O cluster tenta o provisionamento por até três dias antes que o plano de provisionamento seja revertido devido a restrições de acesso ao IP.

    Consulte os pré-requisitos para gerenciar chaves de cliente com AWS, Azure e GCP para obter mais informações.

O Atlas valida sua configuração do KMS:

O Atlas encerra todos os processos mongod e mongos na próxima verificação de validade agendada se uma das seguintes condições existir:

  • suas credenciais do provedor de gerenciamento de chaves tornam-se inválidas

  • alguém exclui ou desabilita sua chave de encriptação

Se o Atlas não conseguir conectar ao seu provedor de gerenciamento de chaves, ou se o Atlas detectar um provável falso alarme, o Atlas não desliga os seus processos. O alerta Encryption at Rest KMS network access denied é habilitado por padrão em todos os novos projetos para comunicar qualquer falha de acesso à rede KMS. Você pode definir suas configurações de alerta.

Se o Atlas desligar os seus clusters, ocorrerão os seguintes eventos:

  • O Atlas envia um e-mail para o Project Owner listando todos os clusters afetados.

  • A página Clusters mostra que o Atlas desativou seus clusters devido a configurações inválidas de criptografia em descanso.

Não é possível ler ou gravar dados em clusters desabilitados. Você pode enviar atualizações para clusters desativados, como alterações no tamanho do disco e da instância. O Atlas processa essas alterações quando alguém restaura sua chave de encriptação. A Atlas continua realizando manutenção e aplicando patches de segurança. Os clusters desativados retêm todos os seus dados, portanto a cobrança continua.

Observação

Energia da Virtual Machine

Enquanto um cluster está desabilitado, o Atlas não interrompe a Máquina Virtual (VM) em que o cluster está sendo executado. O Atlas pode executar patches que reinicializam o servidor, mas a energia da VM não é reiniciada.

Para recuperar o acesso aos seus dados:

O botão Tentar novamente está à direita do campo ID da chave mestra do cliente nas configurações do Atlas Advanced Security

Após atualizar a configuração, clique em Try Again para validá-la. Caso contrário, o Atlas validará na próxima verificação agendada. Todos os processos do mongod e mongos reiniciam após o Atlas determinar se a configuração é válida.

Aviso

Se sua chave foi excluída, restaure essa chave para recuperar o acesso aos seus clusters. Você não pode alterar uma chave ou desativar a criptografia em descanso usando o Cliente Key Gerenciamento sem uma chave válida.

Para restaurar uma chave excluída, consulte a documentação do seu fornecedor de gerenciamento de chaves:

Para clusters com criptografia em descanso usando chaves gerenciadas pelo cliente, a validação de dados do Atlas requer acesso KMS adicionais para descriptografar dados durante as verificações de validação.

A validação de dados é habilitada por padrão para todos os projetos. Você pode optar por não participar se os custos adicionais do KMS, as solicitações ou as considerações de segurança não estiverem alinhados aos seus requisitos.

Quando a validação de dados está habilitada, as instâncias de validação fazem mais solicitações ao seu KMS para descriptografar dados de clusters criptografados.

Volume de solicitações:

O Atlas faz cerca de uma solicitação de descriptografia por conjunto de réplicas por hora durante a validação. Um conjunto de réplicas padrão de três nós com uma janela de validação de sete dias gera cerca de 500 mais solicitações KMS.

Custo estimado:

Para a maioria dos clusters, os custos de KMS relacionados à validação são mínimos. Para preços atuais, consulte a documentação do seu provedor de nuvem.

Considerações de segurança:

  • As instâncias de validação aparecem como principais adicionais nos logs de auditoria do KMS.

  • Se você usar listas de permissão de IP para seu KMS, talvez seja necessário adicionar faixas de IP de instância de validação à sua lista de permissão.

  • As instâncias de validação usam as mesmas chaves gerenciadas pelo cliente que os nós do cluster.

Para a lista atual de faixas de IP da instância de validação, entre em contato com o Suporte do MongoDB.

A maioria das configurações KMS não exige alterações adicionais na lista de permissões de IP para validação de dados. No entanto, se o seu KMS usar controles de acesso baseados em IP (por exemplo, Azure Key Vault com restrições de firewall), você deverá adicionar faixas de IP da instância de validação à sua lista de permissões. Caso contrário, a validação falhará.

Para configurar listas de permissões de IP para seu KMS:

AWS O KMS normalmente permite acesso por função do IAM. Nenhuma configuração adicional de lista de permissões de IP é necessária para instâncias de validação se sua política do IAM permitir a função do Atlas.

O Azure Key Vault geralmente usa listas de permissões de IP estritas. Se a validação falhar com erros de acesso KMS, adicione as faixas de IP de validação do Atlas às regras de rede do Azure Key Vault.

  1. No portal do Azure, navegue até o seu Key Vault.

  2. Selecione Networking no menu esquerdo.

  3. Em Firewalls and virtual networks, adicione as faixas de IP de validação do Atlas.

  4. Clique em Save.

O Google Cloud KMS normalmente permite o acesso por conta de serviço. Nenhuma configuração adicional de lista de permissões de IP é necessária para instâncias de validação se sua política IAM permitir a conta de serviço do Atlas.

Para saber mais sobre a validação de dados, consulte Validação de dados para consistência de cluster.

O Atlas criptografa todos os volumes de snapshot.Isso protege os dados do cluster no disco. Usando o KMS do seu provedor de nuvem, você pode:

  • Criptografar seus volumes de armazenamento de snapshots onde você armazena seus backups.

  • Criptografe os arquivos de dados em snapshots

  • Acessar snapshots criptografados. Para saber mais, consulte Acessar um snapshot criptografado.

  • Restaure os snapshots com a chave que estava ativa no momento em que o snapshots foi tirado.

  • Criptografe os dados de restauração de PIT oplog.

Não é possível restaurar snapshots criptografados com chaves que se tornaram inválidas.

Você pode especificar uma programação básica de snapshot que faça backup a cada 6 horas.

Observação

Você pode baixar snapshots criptografados da mesma forma que snapshots não criptografados. Recomendamos usar o acesso baseado em role à sua chave de criptografia para o projeto como uma prática de segurança recomendada.

Para saber como baixar snapshots, consulte Restaurar a partir de um snapshot baixado localmente.

Para saber mais sobre o gerenciamento de chaves do cliente e backups na nuvem, consulte: