Atlas 使用云提供商的标准存储加密方法对所有快照进行加密,确保静态集群数据的安全。您的云提供商负责管理加密密钥。
如果您对项目和集群使用客户数密钥管理的 静态加密,则Atlas会使用KMS ( KMS )提供商对快照应用额外的加密层。
查看用于加密快照的密钥
对于使用客户数密钥管理进行静态加密的项目和集群, Atlas使用KMS ( KMS )提供商。
对于使用Amazon Web Services IAM作为KMS的集群, Atlas在创建快照时使用项目的客户主密钥 ( 集合扫描) 和Amazon Web Services IAM用户或角色凭证来自动加密快照数据文件。 这是在应用于所有Atlas存储和快照卷的现有加密基础上的额外加密层。 oplog为 PIT 恢复收集的 数据也使用客户的 集合扫描 进行加密。
Atlas存储ID 集合扫描 的唯一 以及用于访问权限 集合扫描Amazon Web Services 的 IAM 用户凭证或 角色 。Atlas在恢复快照时会使用此信息。 您可以访问权限加密快照并使用静态加密恢复快照。
对于使用Azure Key Vault作为KMS的集群, Atlas在创建快照时使用项目的密钥标识符、密钥保管库档案和 Active Directory应用程序帐户凭证来自动加密快照数据文件。 这是在应用于所有Atlas存储和快照卷的现有加密基础上的额外加密层。 oplog为 PIT 恢复收集的 数据也使用客户的 集合扫描 进行加密。
Atlas存储用于加密快照的Azure密钥标识符的唯一ID 。 Atlas还存储用于访问权限密钥标识符的Azure Key Vault凭证和 Active Domain应用程序帐户凭证。 Atlas在恢复快照时会使用此信息。 您可以访问权限加密快照并使用静态加密恢复快照。
Atlas使用Google Cloud Platform服务帐户密钥来加密和解密MongoDB主密钥。 这些MongoDB主密钥用于加密集群数据库文件和云提供商快照。 oplog为 PIT 恢复收集的 数据也使用客户的 集合扫描 进行加密。您可以访问权限加密快照并使用静态加密恢复快照。
步骤
要查看用于加密快照的密钥,请执行以下操作:
请注意Encryption Key ID 。
请注意集群中每个快照的 Encryption Key ID。Atlas列出了用于加密快照的密钥标识符。未加密快照显示 Not enabled,这意味着您没有启用使用客户数密钥管理进行静态加密。但是, Atlas默认使用默认云提供商密钥对所有静态快照和静态数据进行加密。
重要
Atlas 需要访问与快照的Encryption Key ID关联的加密密钥,才能成功恢复该快照。
在删除用于 Atlas 使用密钥管理进行静态加密的加密密钥 ID 之前,请检查项目中每个启用备份的集群是否有任何仍在使用该加密密钥 ID 的快照。删除加密密钥后,使用该密钥加密的所有快照将无法访问且无法恢复。
Atlas 会根据“安排,保留和按需快照”自动删除备份。一旦 Atlas 根据给定的加密密钥 ID 删除所有快照,您就可以安全地删除该密钥。
如果禁用加密密钥 ID,则必须先重新启用该密钥,才能恢复使用该密钥加密的快照。
有关为Atlas项目配置使用密钥管理进行静态加密的完整文档,请参阅使用KMS进行静态加密。 然后,您可以部署新集群,或使用密钥管理为现有集群启用静态加密。