通过公共网络使用 AWS 管理客户密钥

AtlasGoAdvanced在Atlas中，Go项目的 页面。

警告： 导航改进正在进行中

我们目前正在推出改进的全新导航体验。如果以下步骤与Atlas用户界面中的视图不匹配，请参阅预览文档。

1. 如果尚未显示，请从导航栏上的 Organizations 菜单中选择包含项目的组织。

2. 如果尚未显示，请从导航栏的 Projects 菜单中选择您的项目。

3. 在侧边栏中，单击 Security 标题下的 Advanced。

   显示“高级”页面。

将 Encryption at Rest using your Key Management（基于推送的日志导出）旁边的按钮切换为 On（开）。

单击 Authorize a new IAM role（授权新的 IAM 角色）链接，向 Atlas 授权 AWS IAM 角色，以访问您的 AWS KMS 密钥进行静态加密。

要创建新的 AWS IAM 角色用于访问 AWS KMS 密钥进行静态加密，请按照使用 AWS CLI 创建新角色步骤进行操作。如果您要授权现有 AWS IAM 角色，请按照为现有角色添加信任关系步骤进行操作。

通过Amazon Web Services控制台或CLI为您的 Amazon Web Amazon Web Services IAM角色添加访问权限策略。有关更多信息，请参阅管理 IAM 策略。

静态加密的访问策略类似于以下内容：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:DescribeKey"
      ],
      "Resource": [
        "arn:aws:kms:us-east-1:123456789012:key/12x345y6-7z89-0a12-3456-xyz123456789"
      ]
    }
  ]
}

重复第 1 步和第 2 步，将您在第 3 步中授权的角色分配给项目，以获取加密密钥。

指定以下内容以访问您的加密密钥，然后单击 Save（保存）。

1. 从 AWS IAM role 下拉列表中选择要分配的角色。

2. 在 Customer Master Key ID 字段中指定加密密钥。

3. 选择您的加密密钥的 AWS 区域。

向 cloudProviderAccess 端点发送 POST 请求。

使用 API 终结点创建新的 AWS IAM 角色。Atlas 将使用此角色对您的 AWS 帐户进行身份验证。

保存返回的字段值 atlasAWSAccountArn 和 atlasAssumedRoleExternalId，以便在下一步中使用。

修改 AWS IAM 角色信任策略。

1. 登录 AWS 管理控制台。

2. 导航至 Identity and Access Management (IAM) 服务。

3. 从左侧导航栏中选择 Roles 。

4. 单击角色列表中您希望用于 Atlas 访问的现有 IAM 角色。

5. 选择 Trust Relationships 标签页。

6. 单击 Edit trust relationship 按钮。

7. 编辑 Policy Document。添加包含以下内容的新 Statement 对象。

   注意

   此策略声明允许 MongoDB 的Amazon Web Services主体使用客户的KMS密钥进行加密和解密操作。Atlas主体不是秘密，所有Atlas客户都使用该主体。这是一个受到高度限制、用途有限的Amazon Web Services帐户，除了 IAM 用户之外，其中没有任何资源。策略声明中的 ExternalId 对于每个Atlas项目都是唯一的，但它不是秘密。ExternalId 用于降低出现跨上下文（混淆代理）漏洞的可能性。Atlas 使用通用主体来访问权限所有客户密钥，这是Amazon推荐的访问权限模式，如此处所述。

   注意

   用第 1 步中的 API 调用返回的值替换突出显示的行。

   {
     "Version": "2020-03-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "<atlasAWSAccountArn>"
         },
         "Action:" "sts:AssumeRole",
         "Condition": {
           "StringEquals": {
             "sts:ExternalId": "<atlasAssumedRoleExternalId>"
           }
         }
       }
     ]
   }

8. 单击 Update Trust Policy 按钮。

授权新创建的 IAM 角色。

使用 API 端点授权和配置新的 IAM 假定角色 ARN 。如果 API 调用成功，则可以在配置使用 AWS 的 Atlas 服务时使用 roleId 值。

在项目上启用具有角色授权的 AWS KMS

向 encryptionAtRest API 端点发送 PATCH 请求，用您的授权 AWS IAM 角色 ID 更新 awsKms.roleId 字段。

curl --user "{public key}:{private key}" --digest \
  --header "Accept: application/json" \
  --header "Content-Type: application/json" \
  --include \
  --request PATCH \
  "https://cloud.mongodb.com/api/atlas/v1.0/groups/{groupId}/encryptionAtRest?pretty=true&envelope=true" \
  --data '
   {
       "awsKms": {
           "enabled": true,
           "roleId": "<roleId>",
           "customerMasterKeyID": "<master-key-id>",
           "region": "<aws-region>"
       }
   }'

AtlasGoAdvanced在Atlas中，Go项目的 页面。

警告： 导航改进正在进行中

我们目前正在推出改进的全新导航体验。如果以下步骤与Atlas用户界面中的视图不匹配，请参阅预览文档。

1. 如果尚未显示，请从导航栏上的 Organizations 菜单中选择包含项目的组织。

2. 如果尚未显示，请从导航栏的 Projects 菜单中选择您的项目。

3. 在侧边栏中，单击 Security 标题下的 Advanced。

   显示“高级”页面。

在 Encryption at Rest using your Key Management（使用您的密钥管理的静态加密）部分，单击 Edit（编辑）。

阅读 Grant Access to Keys with an AWS IAM Role（对具有 AWS IAM 角色的密钥授予访问权限）部分中的信息并单击 Configure（配置）。

授权 AWS IAM 角色并将其分配给 Atlas，以访问您的 AWS KMS 密钥进行静态加密。

要创建新的 AWS IAM 角色用于访问 AWS KMS 密钥进行静态加密，请按照使用 AWS CLI 创建新角色步骤进行操作。如果您要授权现有 AWS IAM 角色，请按照为现有角色添加信任关系步骤进行操作。