Além de criptografar seus dados em repouso no Atlas com as chaves gerenciadas pelo cliente (CMK) que você cria, possui e gerencia em seu Amazon Web Services KMS, você pode adicionar outra camada de segurança configurando todo o tráfego para seu Amazon Web Services KMS para usar o AWS PrivateLink.
Esta página descreve como configurar o AWS PrivateLink em seu Amazon Web Services KMS para garantir que todo o tráfego entre o Atlas e seu Amazon Web Services KMS ocorra nas interfaces de rede privada do Amazon Web Services.
Considerações
Antes de habilitar a Encryption at rest usando o Amazon Web Services KMS pelo PrivateLink, revise os seguintes casos de uso, benefícios, limitações e pré-requisitos.
Caso de uso
Suponha que seu sistema do Atlas esteja em um único provedor de serviços de nuvem. Agora você tem um requisito de que todo o acesso ao seu Amazon Web Services KMS ocorra na infraestrutura de rede privada do seu fornecedor de nuvem. Esta página orienta você pelas etapas para habilitar conexões de endpoint privadas para seu projeto Atlas .
Benefícios
Você pode configurar a encryption at rest com o Amazon Web Services KMS em redes privadas. Essa configuração permite que todo o tráfego para o Amazon Web Services KMS passe por um conjunto de endpoints privados e evita expor o Amazon Web Services KMS à Internet pública ou a endereços IP públicos. Essa configuração também elimina a necessidade de manter endereços IP permitidos e, ao mesmo tempo, melhora a segurança dos dados, mantendo todo o tráfego do Amazon Web Services KMS dentro da rede privada do Amazon Web Services.
Limitações
O Atlas oferece suporte à Encryption at rest usando o Amazon Web Services KMS em redes privadas apenas para sistemas de nuvem única.
O Atlas oferece suporte à criptografia em repouso usando o Amazon Web Services KMS em redes privadas apenas para projetos no estado
ACTIVE.
Pré-requisitos
Para habilitar chaves gerenciadas pelo cliente com o AWS KMS para um projeto MongoDB, você deve:
Use um cluster M10 ou superior.
Tenha um role AWS IAM com privilégios suficientes. O Atlas deve ter permissão para realizar as seguintes ações com sua chave:
Observação
Se você quiser usar a chave do AWS KMS com um role do AWS IAM de uma conta da AWS diferente em vez do role do IAM que criou a chave do AWS KMS, verifique se você tem privilégios suficientes:
Adicione uma declaração de política de chave na chave AWS KMS para permitir o acesso de uma conta AWS externa.
Adicione uma política interna do IAM para o role do IAM na conta externa do AWS.
Para acessar uma discussão abrangente sobre roles do IAM e chaves mestras do cliente, consulte a documentação da AWS.
Após confirmar os privilégios acima, você pode seguir as etapas usuais para definir as configurações de KMS no Atlas, com a seguinte exceção:
Você deve fornecer o ARN completo para a chave AWS KMS (por exemplo,
arn:aws:kms:eu-west-2:111122223333:key/12345678-1234-1234-1234-12345678) em vez da ID da chave mestre (por exemplo,12345678-1234-1234-1234-12345678) no campo ID da chave AWS KMS.
Para saber como criar um role IAM, consulte Funções IAM na documentação AWS.
O Atlas usa a mesma role do IAM e as mesmas configurações de chave do AWS KMS para todos os clusters em um projeto para o qual a criptografia em repouso está habilitada.
Se a configuração do AWS KMS exigir,permita o acesso a partir de endereços IP do Atlas e dos endereços IP públicos ou nomes de host DNS dos nós do cluster para que o Atlas possa se comunicar com o KMS. Você deve incluir os endereços IP na política de role gerenciado do IAMconfigurando operadores de condição de endereço IP no documento de política. Se os endereços IP do nó mudarem, você deverá atualizar sua configuração para evitar interrupções de conectividade.
Procedimentos
Habilite para o acesso baseado em roles para sua chave de encriptação para um projeto
No Atlas, VáGo para a Advanced página do seu projeto.
AVISO: Melhorias de navegação em andamento
No momento, estamos lançando uma experiência de navegação nova e aprimorada. Se as etapas a seguir não corresponderem à sua visualização na UI do Atlas , consulte a documentação de visualização.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Advanced sob o título Security.
A página Avançado é exibida.
Clique no link Authorize a new IAM role para autorizar uma função de IAM da AWS no Atlas para acessar suas chaves da AWS KMS para criptografia em descanso.
Para criar um novo role IAM do AWS para acessar suas chaves KMS do AWS para encryption at rest, siga o procedimento Criar novo role com o AWS CLI. Se você tiver um role AWS IAM existente que deseja autorizar, siga o procedimento Adicionar relacionamentos de confiança sa um role existente.
Adicione uma política de acesso ao seu perfil IAM da AWS por meio do console da AWS ou CLI.Consulte Gerenciamento de políticas do IAM para obter mais informações.
Observação
Essa declaração de política permite que o diretor da AWS do MongoDB use a chave KMS do cliente para operações de criptografia e descriptografia. O Atlas Principal não é segredo e é usado com todos os clientes do Atlas . Essa é uma conta da AWS altamente restrita e de propósito limitado, sem recursos além do usuário do IAM. O ExternalId na declaração de política é exclusivo para cada projeto Atlas, mas não é secreto. O ExternalId é usado para mitigar a possibilidade de vulnerabilidades entre contextos (deputado confuso). O uso do Atlas de um principal comum para acessar as chaves de todos os clientes é um padrão de acesso recomendado pela Amazon, conforme descrito aqui.
A política de acesso para encryption at rest é similar ao exemplo a seguir:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:DescribeKey" ], "Resource": [ "arn:aws:kms:us-east-1:123456789012:key/12x345y6-7z89-0a12-3456-xyz123456789" ] } ] }
Envie uma solicitação POST para o ponto de extremidade cloudProviderAccess .
Use o ponto de extremidade da API para criar um novo papel IAM do AWS. O Atlas usará esse papel para autenticação com sua conta do AWS.
Mantenha os valores de campo retornados atlasAWSAccountArn e atlasAssumedRoleExternalId perto para uso na próxima etapa.
Modifique sua política de confiança de role do AWS IAM.
Faça login no Console de gerenciamento da AWS .
Navegue até o serviço de Identity and Access Management (IAM).
Selecione Roles na navegação do lado esquerdo.
Clique no papel IAM existente que você deseja utilizar para acesso do Atlas a partir da lista de papéis.
Selecione a guia Trust Relationships.
Clique no botão Edit trust relationship.
Edite o Policy Document. Adicione um novo objeto
Statementcom o seguinte conteúdo.Observação
Essa declaração de política permite que o diretor da AWS do MongoDB use a chave KMS do cliente para operações de criptografia e descriptografia. O Atlas Principal não é segredo e é usado com todos os clientes do Atlas . Essa é uma conta da AWS altamente restrita e de propósito limitado, sem recursos além do usuário do IAM. O
ExternalIdna declaração de política é exclusivo para cada projeto Atlas, mas não é secreto. OExternalIdé usado para mitigar a possibilidade de vulnerabilidades entre contextos (deputado confuso). O uso do Atlas de um principal comum para acessar as chaves de todos os clientes é um padrão de acesso recomendado pela Amazon, conforme descrito aqui.Observação
Substitua as linhas destacadas pelos valores retornados da chamada de API na etapa 1.
{ "Version": "2020-03-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "<atlasAWSAccountArn>" }, "Action:" "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "<atlasAssumedRoleExternalId>" } } } ] } Clique no botão Update Trust Policy.
Autorize a função do IAM recém-criada.
Use o endpoint da API para autorizar e configurar o novo IAM Assumed Role ARN. Se a chamada da API for bem-sucedida, você pode usar o valor roleId ao configurar serviços do Atlas que utilizam AWS.
Habilite o AWS KMS com autorização de função no projeto
Envie uma solicitação PATCH ao ponto de extremidade da API encryptionAtRest para atualizar o campo awsKms.roleId com seu ID de função do AWS IAM autorizado.
Exemplo
curl --user "{public key}:{private key}" --digest \ --header "Accept: application/json" \ --header "Content-Type: application/json" \ --include \ --request PATCH \ "https://cloud.mongodb.com/api/atlas/v1.0/groups/{groupId}/encryptionAtRest?pretty=true&envelope=true" \ --data ' { "awsKms": { "enabled": true, "roleId": "<roleId>", "customerMasterKeyID": "<master-key-id>", "region": "<aws-region>" } }'
Depois de habilitar o acesso baseado em role para sua chave de criptografia para seu projeto, habilite conexões de endpoint privadas para seu projeto seguindo Habilitar e configurar conexões de endpoints privadas para um projeto.
Mude para o acesso baseado em roles para sua chave de encriptação para um projeto
O Amazon Web Services requer o uso de funções do IAM em vez de usuários do IAM para gerenciar o acesso às chaves de criptografia do Amazon Web Services KMS no Atlas. Se você configurou inicialmente seu projeto para utilizar credenciais de usuário IAM para acessar chaves Amazon Web Services KMS, alterne para acesso baseado em função utilizando o seguinte procedimento.
Importante
Se você alternar suas chaves de encriptação para acesso baseado em role, não poderá desfazer a configuração de acesso baseado em role e reverter para acesso baseado em credenciais para chaves de encriptação nesse projeto.
No Atlas, váGo para a Advanced página do seu projeto.
AVISO: Melhorias de navegação em andamento
No momento, estamos lançando uma experiência de navegação nova e aprimorada. Se as etapas a seguir não corresponderem à sua visualização na UI do Atlas , consulte a documentação de visualização.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Advanced sob o título Security.
A página Avançado é exibida.
Autorize o Atlas fornecendo um role do AWS IAM que lhe permita acessar suas chaves do AWS KMS para encryption at rest.
Para criar um novo role IAM do AWS para acessar suas chaves KMS do AWS para encryption at rest, siga o procedimento Criar novo role com o AWS CLI. Se você tiver um role AWS IAM existente que deseja autorizar, siga o procedimento Adicionar relacionamentos de confiança sa um role existente.
Para atualizar seu gerenciamento de chave de criptografia com a API de Administração do Atlas, use as mesmas etapas descritas no procedimento acima.
Habilitar e configurar conexões de endpoint privado para um projeto
Para habilitar redes privadas e configurar um endpoint privado em seu Amazon Web Services KMS, você deve fazer o seguinte:
No Atlas, váGo para a Advanced página do seu projeto.
AVISO: Melhorias de navegação em andamento
No momento, estamos lançando uma experiência de navegação nova e aprimorada. Se as etapas a seguir não corresponderem à sua visualização na UI do Atlas , consulte a documentação de visualização.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Advanced sob o título Security.
A página Avançado é exibida.
Vá para a página Private Endpoints for AWS KMS.
Na página Advanced, na seção Encryption at Rest using your Key Management, faça as seguintes etapas:
Expanda Network Settings para o seu AWS KMS se estiver recolhido.
Alterne o botão ao lado de Require Private Networking.
Clique em Set up.
A página Set Up Private Networking for AWS é exibida.
Replicar sua chave de criptografia em cada região.
Faça login no painel do Amazon Web Services KMS.
Na interface do usuário do Atlas , clique em Copy para salvar o ID da chave mestra do cliente .
No painel do AWS KMS, replique sua chave em todas as regiões desejadas. Para saber mais, consulte a documentação da AWS.
Na IU do Atlas, clique em Continue
Especifique as regiões do Amazon Web Services onde você deseja criar endpoints privados.
Selecione as regiões do Amazon Web Services no menu suspenso.
Clique em Continue.
O Atlas cria automaticamente endpoints privados nessas regiões para permitir que você se conecte usando redes privadas.
O Atlas pode levar até três minutos para refletir o status atual do seu endpoint privado. O endpoint privado pode ter um dos seguintes status:
Ativo | Indica que o endpoint privado está aprovado e o Atlas pode ou está usando-o. |
Falhou | Indica que a criação do endpoint privado falhou. |
Ative a rede privada.
Envie uma solicitação PATCH para o endpoint encryptionAtRest e defina o valor do sinalizador requirePrivateNetworking para true.
Para saber mais sobre os parâmetros necessários, consulte Atualizar configuração para encryption at rest usando chaves gerenciadas pelo cliente para um projeto.
Exemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request PATCH "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/" \ --data ' { "awsKms": { "accessKeyID": "019dd98d94b4bb778e7552e4", "customerMasterKeyID": "string", "enabled": true, "region": "US_EAST_1", "roleId": "32b6e34b3d91647abb20e7b8", "secretAccessKey": "string", "requirePrivateNetworking": true } }'
Crie um endpoint privado.
Use a API de administração do Atlas para criar um endpoint privado para se comunicar com o Amazon Web Services KMS.
Envie uma solicitação do POST para o endpoint do encryptionAtRest com a região do Amazon Web Services na qual você deseja que o Atlas crie o endpoint privado. Você deve enviar uma solicitação separada para cada região em que deseja que o Atlas crie um endpoint privado.
Exemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints" \ --data ' { "regionName": "US_EAST_1" }'
Depois de criar o endpoint privado, as seguintes restrições se aplicam:
O Atlas cria todos os novos clusters somente nas regiões com endpoints privados aprovados.
O Atlas distribui nós adicionais para clusters existentes apenas nas regiões com endpoints privados aprovados.
Verifique o status da sua solicitação.
Para verificar o status do endpoint privado, envie uma solicitação de GET para o endpoint encryptionAtRest .
Exemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints"
{ "links": [ { "href": "https://cloud.mongodb.com/api/atlas", "rel": "self" } ], "results": [ { "cloudProvider": "AWS", "id": "24-hexadecimal-digit-string", "privateEndpointConnectionName": "string", "regionName": "US_EAST_1", "status": "INITIATING", } ], "totalCount": 1 }
O Atlas pode levar até três minutos para refletir o status atual do seu endpoint privado. O endpoint privado pode ter um dos seguintes status:
Ativo | Indica que o endpoint privado está aprovado e o Atlas pode ou está usando-o. |
Falhou | Indica que a criação do endpoint privado falhou. |
Depois de habilitar o gerenciamento de chaves do cliente para seu projeto e configurar endpoints privados, habilite o gerenciamento de chaves do cliente para cada cluster do Atlas em seu projeto seguindo Habilitar gerenciamento de chaves do cliente para um cluster do Atlas.
Habilitar o gerenciamento de chaves do cliente para um Atlas cluster
Depois de ativar o acesso baseado em role para sua chave de encriptação para um projeto, você deve ativar o gerenciamento de chaves do cliente para cada Atlas cluster que contém dados que você deseja criptografar.
Observação
Você deve ter a role Project Owner para habilitar o gerenciamento de chaves do cliente para clusters nesse projeto.
CMK de várias regiões
Para Amazon Web Services CMK de multirregional, adicione cada ARN de chave regional à política de chaves KMS para que os clusters do Atlas nessas regiões possam acessá-las.
Para novos clusters, alterne a configuração Gerenciar suas próprias chaves de encriptação para Yes quando você criar o cluster.
Para clusters existentes:
No Atlas, váGo para a Clusters página do seu projeto.
AVISO: Melhorias de navegação em andamento No momento, estamos implementando uma experiência de navegação nova e aprimorada. Se as etapas a seguir não corresponderem à sua visualização na IU do Atlas, consulte a documentação de visualização.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Se ainda não estiver exibido, clique em Clusters na barra lateral.
A página Clusters é exibida.
Habilitar criptografia de cluster.
Expanda o painel Additional Settings.
Alterne a configuração Manage your own encryption keys para Yes.
Verifique o status da configuração Require Private Networking para seu cluster.
Se você configurou a criptografia em repouso usando CMK (Over Private Networking) para Atlas no nível do projeto, o status é Active. Se você não configurou nenhuma conexão de endpoint privada para seu projeto, o status é Inactive.
Desativar chaves gerenciadas pelo consumidor para um projeto
Para desabilitar a CMK para um projeto, você deve primeiro remover todos os endpoints privados associados ao projeto, independentemente de seu estado. O Atlas exibe um erro se você tentar desabilitar a CMK para um projeto associado a endpoints privados ativos.
Depois de remover todos os pontos de extremidade privados de um projeto, você deve desabilitar o gerenciamento de chaves do cliente em cada cluster do projeto antes de desabilitar o recurso para o projeto.
Aviso
Não desative nem exclua nenhuma chave KMS do Amazon Web Services usada por qualquer cluster em seu projeto Atlas antes de desativar o gerenciamento de chaves do cliente no projeto Atlas. Se o Atlas não conseguir acessar uma chave do Amazon Web Services KMS, todos os dados criptografados pela chave ficarão inacessíveis.
Criar novos endpoints para um projeto
Depois de ativar e configurar as conexões de endpoints privados para o seu projeto, você poderá adicionar endpoints a qualquer momento por meio da Atlas e da API de administração do Atlas .
No Atlas, váGo para a Advanced página do seu projeto.
AVISO: Melhorias de navegação em andamento
No momento, estamos lançando uma experiência de navegação nova e aprimorada. Se as etapas a seguir não corresponderem à sua visualização na UI do Atlas , consulte a documentação de visualização.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Advanced sob o título Security.
A página Avançado é exibida.
Vá para a página Private Endpoints for AWS KMS.
Na página Advanced, na seção Encryption at Rest using your Key Management, execute as seguintes ações:
Expanda Network Settings para o seu AWS KMS se estiver recolhido.
Clique em Manage.
A página Private Endpoints for AWS KMS exibe as regiões, o nome do endpoint, o status dos endpoints privados para seus endpoints Atlas e as ações que você pode executar nos endpoints privados.
Especifique as regiões onde você deseja criar endpoints privados.
Selecione as regiões do Amazon Web Services no menu suspenso.
Clique em Continue.
O Atlas cria automaticamente endpoints privados nessas regiões para permitir que você se conecte usando redes privadas.
O Atlas pode levar até três minutos para refletir o status atual do seu endpoint privado. O endpoint privado pode ter um dos seguintes status:
Ativo | Indica que o endpoint privado está aprovado e o Atlas pode ou está usando-o. |
Falhou | Indica que a criação do endpoint privado falhou. |
Crie um endpoint privado.
Use a API de administração do Atlas para criar um endpoint privado para se comunicar com o Amazon Web Services KMS.
Envie uma solicitação do POST para o endpoint do encryptionAtRest com a região do Amazon Web Services na qual você deseja que o Atlas crie o endpoint privado. Você deve enviar uma solicitação separada para cada região na qual deseja que o Atlas crie um endpoint privado.
Exemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints" \ --data ' { "regionName": "US_EAST_1" }'
Depois de criar o endpoint privado, as seguintes restrições se aplicam:
O Atlas cria todos os novos clusters somente nas regiões com endpoints privados aprovados.
O Atlas distribui nós adicionais para clusters existentes apenas nas regiões com endpoints privados aprovados.
Verifique o status da sua solicitação.
Para verificar o status do endpoint privado, envie uma solicitação de GET para o endpoint encryptionAtRest .
Exemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-11-13+json" \ --header "Content-Type: application/vnd.atlas.2024-11-13+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints"
{ "links": [ { "href": "https://cloud.mongodb.com/api/atlas", "rel": "self" } ], "results": [ { "cloudProvider": "AWS", "id": "24-hexadecimal-digit-string", "privateEndpointConnectionName": "string", "regionName": "US_EAST_1", "status": "INITIATING", } ], "totalCount": 1 }
O Atlas pode levar até três minutos para refletir o status atual do seu endpoint privado. O endpoint privado pode ter um dos seguintes status:
Ativo | Indica que o endpoint privado está aprovado e o Atlas pode ou está usando-o. |
Falhou | Indica que a criação do endpoint privado falhou. |
Rejeitar ou remover conexão de endpoint privado
Você pode remover conexões de endpoints privados da UI do Atlas e da API de administração do Atlas .
No Atlas, váGo para a Advanced página do seu projeto.
AVISO: Melhorias de navegação em andamento
No momento, estamos lançando uma experiência de navegação nova e aprimorada. Se as etapas a seguir não corresponderem à sua visualização na UI do Atlas , consulte a documentação de visualização.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Advanced sob o título Security.
A página Avançado é exibida.
Vá para a página Private Endpoints for AWS KMS.
Na página Advanced, na seção Encryption at Rest using your Key Management, execute as seguintes ações:
Expanda Network Settings para o seu AWS KMS se estiver recolhido.
Clique em Manage.
A página Private Endpoints for AWS KMS exibe as regiões, o nome do endpoint, o status dos endpoints privados para seus endpoints Atlas e as ações que você pode executar nos endpoints privados.
Para remover um endpoint privado, envie uma DELETE solicitação de para o endpoint da API de administração do Atlas e especifique a ID do projeto e do endpoint privado que você deseja excluir. Você pode recuperar o ID do endpoint privado que deseja excluir enviando uma GET solicitação de para o Serviço de retorno de um endpoint privado da API do Atlas para um endpoint do fornecedor.
Exemplo
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API --header "Content-Type: application/json" \ --include \ --request DELETE "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/ privateEndpoints/{endpointId}" \ --data ' { "cloudProvider": "AWS", "regions": [ "string" ] }'
Quando você usa a API de administração do Atlas para excluir um endpoint privado, o endpoint privado transita para o status DELETING enquanto o Atlas exclui o endpoint privado.
Se você remover ou rejeitar um endpoint privado ativo da UI do Amazon Web Services, o Atlas tentará recriar automaticamente um novo endpoint privado na mesma região.
Enquanto o Atlas tenta criar um novo endpoint privado, o status do endpoint privado que você rejeitou ou removeu transições para PENDING_RECREATION e o novo endpoint que o Atlas tenta criar está no estado INITIATING . Você deve aprovar o novo endpoint privado após ele ser criado.
Exibir endpoints privados e seus status
Você pode visualizar os endpoints privados em várias regiões e seus status na UI do Atlas e na API de administração do Atlas .
No Atlas, váGo para a Advanced página do seu projeto.
AVISO: Melhorias de navegação em andamento
No momento, estamos lançando uma experiência de navegação nova e aprimorada. Se as etapas a seguir não corresponderem à sua visualização na UI do Atlas , consulte a documentação de visualização.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Advanced sob o título Security.
A página Avançado é exibida.
Vá para a página Private Endpoints for AWS KMS.
Na página Advanced, na seção Encryption at Rest using your Key Management, execute as seguintes ações:
Expanda Network Settings para o seu AWS KMS se estiver recolhido.
Clique em Manage.
A página Private Endpoints for AWS KMS exibe as regiões, o nome do endpoint, o status dos endpoints privados para seus endpoints Atlas e as ações que você pode executar nos endpoints privados.
Você pode visualizar o endpoint privado e seus status na API de administração do Atlas enviando uma GET solicitação de para a API de administração do Atlas encryptionAtRest obter todos os endpoints ou obter um endpoint, para o qual você deve especificar o ID do endpoint privado na caminho.
Exemplo
Retornar todos os endpoints privados de um projeto
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API --header "Content-Type: application/json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AWS/privateEndpoints/"
Cada endpoint privado pode estar em um dos seguintes status:
Ativo | Indica que o endpoint privado está aprovado e o Atlas pode ou está usando-o. |
Falhou | Indica que a criação do endpoint privado falhou. |
Desativar conexões de endpoint privado para um projeto
Para desativar as conexões de endpoint privado para um projeto, você deve primeiro remover todos os endpoints privados associados ao projeto, independentemente do estado. O Atlas não desabilita as conexões de endpoint privado para um projeto se o projeto estiver associado a endpoints privados ativos.
Após remover todos os endpoints privados de um projeto, você pode desabilitar as conexões de endpoints privados para o projeto usando a UI do Atlas e a API de administração do Atlas .
No Atlas, váGo para a Advanced página do seu projeto.
AVISO: Melhorias de navegação em andamento
No momento, estamos lançando uma experiência de navegação nova e aprimorada. Se as etapas a seguir não corresponderem à sua visualização na UI do Atlas , consulte a documentação de visualização.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.
Na barra lateral, clique em Advanced sob o título Security.
A página Avançado é exibida.
Para desabilitar uma conexão de endpoint privado, envie uma solicitação de PATCH para o endpoint com o valor do sinalizador booleano requirePrivateNetworking definido como false.
Exemplo
{ "awsKms": { "accessKeyID": "019dd98d94b4bb778e7552e4", "customerMasterKeyID": "string", "enabled": true, "region": "US_EAST_1", "roleId": "32b6e34b3d91647abb20e7b8", "secretAccessKey": "string" "requirePrivateNetworking": false } }
Tópicos relacionados
Para ativar a Criptografia em Repouso usando seu gerenciamento de chaves ao implantar um Atlas cluster, consulte Gerenciar Suas Próprias Chaves de Criptografia.
Para habilitar a Criptografia em Repouso usando o Gerenciamento de Chaves para um Atlas cluster existente, consulte Habilitar Criptografia em Repouso.
Para saber mais sobre Criptografia em Repouso usando seu Gerenciamento de Chaves no Atlas, consulte Criptografia em Repouso usando o Gerenciamento de Chaves do Consumidor.
Para saber mais sobre a criptografia em repouso MongoDB, consulte Criptografia em repouso na documentação do servidor MongoDB.
Para saber mais sobre encryption at rest com backups em nuvem, consulte Mecanismo de armazenamento e criptografia de backup em nuvem.