Menu Docs
Página inicial do Docs
/ /
Criptografia
Página inicial do Docs
/
Gestão
/
Backup, restaure e arquive
/
Criptografia
Página inicial do Docs
/
Gestão
/
Backup, restaure e arquive
/
Criptografia

Acessar um snapshot criptografado

Quando você usa o Encryption at Rest usando o Gerenciamento de chaves do cliente, o Atlas criptografa os arquivos de dados mongod em seus snapshots. Se você deseja baixar e restaurar um snapshot, o mongod não poderá ler esses arquivos de dados a menos que tenha acesso a um servidorKMIP do que pode fornecer a chave de descriptografia apropriada. Você pode usar o KMIP Proxy Standalone para acessar os arquivos de dados do mongod . Você baixa o KMIP Proxy Standalone como binário para seu sistema operacional específico.

Considerações

Por padrão, o KMIP Proxy Standalone utiliza as credenciais armazenadas no arquivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata .

  • Se você girar chaves, essas credenciais refletirão a rotação de chaves mais recente.

  • Se o binário KMIP Proxy Standalone não conseguir descriptografar os snapshots usando essas credenciais, o binário mostrará uma mensagem de erro informando que você deve atualizar os arquivos de metadados no disco que contêm as credenciais antigas. Você pode atualizar o arquivo de metadados com qualquer editor de texto.

  • Se você usar o acesso baseado em função para sua chave de criptografia, o arquivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata não conterá credenciais válidas.

    Realize uma das seguintes ações:

    • Atualize o arquivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata . Use um roleId vazio. Forneça credenciais temporárias com base no role do IAM que podem acessar sua chave de encriptação nos campos accessKeyId e secretAccessKey :

      {
        "accessKeyId": "TemporaryAccessKeyId",
        "secretAccessKey": "TemporarySecretAccessKey",
        "roleId": "",
        "region": "us-east-1"
      }

    • Inicie o binário KMIP Proxy Standalone com as seguintes opções:

      • awsAccessKey

      • awsSecretAccessKey

      • awsSessionToken

      • awsRegion

    Para gerar credenciais temporárias com base em uma função do IAM, consulte a documentação do Amazon Web Services.

  • Você pode baixar snapshots criptografados da mesma forma que snapshots não criptografados. Recomendamos usar o acesso baseado em role à sua chave de criptografia para o projeto como uma prática de segurança recomendada.

Procedimento

1

No Atlas, acesse os Backup detalhes do para seu projeto.

  1. Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.

  3. Na barra lateral, clique em Backup sob o título Database.

    Os detalhes do Backup são exibidos.

  4. Clique no link do cluster.

2

Baixe o snapshot criptografado.

  1. Se ainda não estiver selecionado, clique na aba Snapshots .

  2. Na coluna Actions, expanda o menu Actions e clique em Download para o snapshot que você deseja baixar.

    O Atlas prepara o snapshot. Quando está pronto para download, o Atlas gera um link de download de uso único que expira 1 hora após sua criação. O Atlas envia um e-mail para você com o link de download e o exibe na guia Restores & Downloads.

3

Faça o download do KMIP Proxy Standalone.

No modal Preparing Snapshot Download , clique em Download KMIP Proxy e selecione o binário para seu sistema operacional.

Você também pode seguir uma das seguintes etapas para acessar o link download KMIP Proxy Standalone :

  • Clique na aba Restores & Downloads.

  • No Atlas, acesse a página Advanced do seu projeto.

    1. Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.

    2. Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.

    3. Na barra lateral, clique em Database & Network Access sob o título Security.

    4. Na barra lateral, clique em Advanced.

      A página Avançado é exibida.

    O link aparece na seção Encryption at Rest using your Key Management .

4

Inicie o KMIP Proxy Standalone.

  1. Abra uma janela de prompt de terminal ou comando.

  2. Invoque o seguinte comando com os parâmetros especificados:

    kmipProxyStandalone
      -awsAccessKeyId <accessKey> -awsSecretAccessKey <secretAccessKey> \
      -awsSessionToken <token> -awsRegion <region> -cloudProvider aws \
      -dbpath <dbpath> -kmipPort <kmipPort> -mongodPort <mongodPort>
    Parâmetro
    Descrição

    awsAccessKey

    ID da chave de acesso IAM com permissões para acessar a chave mestre do cliente .

    Necessário somente se você não especificou um accessKeyId no arquivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata .

    awsSecretAccessKey

    Chave de acesso secreta IAM com permissões para acessar a chave mestre do cliente .

    Necessário somente se você não especificou um secretAccessKey no arquivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata .

    awsSessionToken

    Token a ser usado ao conceder credenciais de segurança temporárias Amazon Web Services .

    awsRegion

    Região do Amazon Web Services na qual a chave mestra do cliente do Amazon Web Services existe.

    Necessário somente se você não especificou um region no arquivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata .

    cloudProvider

    Seu provedor de serviços de nuvem. O valor deve ser aws.

    dbpath

    Caminho para o diretório de dados mongod para o qual você deseja criar um proxy.

    kmipPort

    Porta na qual executar o proxy KMIP .

    mongodPort

    Porta na qual executar o mongod.

    kmipProxyStandalone
      -cloudProvider <azure|gcp> -dbpath <dbpath> \
      -kmipPort <kmipPort> -mongodPort <mongodPort>
    Parâmetro
    Descrição

    cloudProvider

    Seu provedor de serviços de nuvem. Os valores válidos são azure ou gcp.

    dbpath

    Caminho para o diretório de dados mongod para o qual você deseja criar um proxy.

    kmipPort

    Porta na qual executar o proxy KMIP .

    mongodPort

    Porta na qual executar o mongod.

O KMIP Proxy Standalone gera um certificado KMIP para localhost e o grava no dbpath.

5

Inicie um mongod processo.

Invoque o seguinte comando com os parâmetros especificados:

Observação

Este comando está disponível apenas para clientes do Atlas Enterprise.

mongod --dbpath <dbpath> --port  <mongodPort> --enableEncryption --kmipPort <kmipPort> --kmipServerName 127.0.0.1 --kmipServerCAFile <dbpath>/kmipCA.pem --kmipActivateKeys false --kmipClientCertificateFile <dbpath>/kmipClient.pem
Parâmetro
Descrição

dbpath

Caminho para o diretório onde o mongod armazena seus dados.

port

Porta na qual mongod escuta conexões de cliente.

kmipPort

Porta na qual o servidor KMIP escuta.

kmipServerCAFile

Caminho para o arquivo CA usado para validar a conexão segura do cliente com o servidor KMIP .

kmipActivateKeys

Para o servidor MongoDB v5.2 ou posterior, sinalizador que especifica se deseja ativar ou desativar as chaves do servidor MongoDB . O valor deste parâmetro deve ser false quando você iniciar o servidor MongoDB .

kmipClientCertificateFile

Caminho para o certificado do cliente usado para autenticar o MongoDB no servidor KMIP .

O mongod atua como um servidor KMIP vinculado a 127.0.0.1 e é executado no kmipPort especificado.

6

Conecte ao mongod processo.

Acesse seus arquivos de dados conectando-se ao mongod por meio do mongosh, MongoDB Compass ou por meio de utilitários padrão, como mongodump ou mongorestore.

Você também pode restaurar um snapshot usando o Encryption at Rest.

Voltar

Criptografia

Próximo

Restaurar usando criptografia em repouso

Nesta página