通过 AWS KMS 管理客户密钥
在此页面上
注意
从 2021 年 1 月 26 日版本开始,必须使用 AWS IAM 角色代替 IAM 用户来管理对 AWS KMS 加密密钥的访问,以进行客户密钥管理。
当您从 AWS IAM 用户转变为角色时,请确保您的新角色可以访问旧的 AWS 客户主密钥。
重要
无服务器实例中的不可用功能
无服务器实例目前不支持此功能。要了解详情,请参阅无服务器实例限制。
您可以将 Atlas 项目配置为使用 AWS IAM 角色 用于访问用于静态加密的 AWS KMS 密钥。为项目启用静态加密时,可以使用现有角色或创建新角色。
本页介绍了如何在 Atlas 项目上为基于角色的访问权限配置客户密钥管理。
如果您尚未为新的或现有的 Atlas 项目启用静态加密,请按照为项目启用对加密密钥的基于角色的访问中的步骤为您的 Atlas 项目启用静态加密。如果您已经为 Atlas 项目启用了静态加密,并配置了对加密密钥的基于凭证的访问权限,请按照为项目切换到对加密密钥的基于角色的访问权限中的步骤,切换到对加密密钥的基于角色的访问权限。
您必须先为 Atlas 项目配置客户密钥管理,然后才能在该项目中的集群上启用它。
提示
另请参阅:
必需的访问权限
要配置客户密钥管理,您必须拥有对项目的 Project Owner 访问权限。
拥有 Organization Owner 访问权限的用户必须将自己作为 Project Owner 添加到项目中。
通过 AWS KMS 启用客户托管密钥
Atlas 中的客户密钥管理遵循称为 信封加密 的过程 。此过程通过使用一个密钥加密另一个密钥来创建多层加密。为了启用客户密钥管理,Atlas 使用以下加密密钥:
Customer-Managed Key (CMK)客户管理的密钥是您在 AWS KMS 中创建、拥有和管理的加密密钥。您在 AWS KMS 中创建 CMK ,并在 项目 级别将其连接到 Atlas。要了解有关 AWS KMS 中使用的 CMK 的更多信息,请参阅 AWS KMS 文档 。
Atlas 仅使用此密钥来加密 MongoDB 主密钥。
MongoDB Master KeyAtlas 集群中的每个节点都会创建一个 MongoDB 主密钥。 MongoDB 主密钥是 MongoDB Server 用于通过WiredTiger 存储引擎加密文件的加密密钥。 Atlas 在本地保存密钥的加密副本。
此密钥使用CMK加密,并对每个数据库的加密密钥进行加密。
Per-Database Encryption KeyAtlas 集群中的每个节点还会为集群中的每个数据库创建一个加密密钥。 Atlas 使用这些密钥通过 WiredTiger 读取和写入数据,WiredTiger 也会加密和存储这些密钥。
此密钥使用 MongoDB 主密钥加密。
例子
请考虑以下针对三节点副本集的加密层次结构。 Atlas 使用 AWS KMS 中的CMK为集群中的每个节点加密唯一的 MongoDB 主密钥。每个节点还包含三个数据库,每个数据库都使用每个数据库唯一的加密密钥进行加密。当集群启动时,Atlas 使用 AWS KMS 中的CMK解密 MongoDB 主密钥,并将其提供给 MongoDB Server。
注意
如果您撤销 Atlas 对CMK的访问权限,Atlas 会关闭集群中的节点,并且在您恢复对CMK的访问权限之前,您无法访问数据。
先决条件
要使用 AWS KMS 为 MongoDB 项目启用客户托管密钥,必须:
拥有对称 AWS KMS 密钥。要了解如何创建密钥,请参阅 创建密钥 在 AWS 文档中。
注意
为确保出现区域中断时的恢复能力,请将 KMS 密钥配置为 多区域密钥。
要了解更多信息,请参阅在中断期间重新配置 AWS KMS 地区。
具有足够特权的 AWS IAM 角色。Atlas 必须有权使用密钥执行以下操作:
注意
如果你希望将 AWS KMS 密钥与来自不同 AWS 账户的 AWS IAM 角色(而不是创建 AWS KMS 密钥的 IAM 角色)一起使用,请确保你拥有足够特权:
在 AWS KMS 密钥下添加密钥策略声明以包含外部 AWS 账户。
为外部 AWS 帐户中的 IAM 角色添加 IAM 内联策略。
有关 IAM 角色和客户主密钥的全面讨论,请参阅 AWS 文档。
确认上述特权后,您可以按照常规步骤在 Atlas 中配置 KMS 设置,但以下情况除外:
您必须提供完整 ARN 用于 AWS KMS 密钥(例如
arn:aws:kms:eu-west-2:111122223333:key/12345678-1234-1234-1234-12345678),而不是主密钥 ID(例如12345678-1234-1234-1234-12345678),在 AWS KMS 密钥 ID 字段中。
要了解如何创建 IAM 角色,请参阅 IAM 角色 在 AWS 文档中。
在启用了静态加密的项目中,Atlas 对所有集群都使用相同的 IAM 角色和 AWS KMS 密钥设置。
如果您的 AWS KMS 配置需要,请 允许访问 Atlas IP 地址 和集群节点的公共 IP 地址或 DNS 主机名,以便 Atlas 可以与 KMS 通信。您必须将 IP 地址包含在 托管 IAM 角色策略中 通过配置 IP 地址条件操作符 在您的保单文件中。如果节点 IP 地址 发生变化 ,则必须更新配置以避免连接中断。
为项目的加密密钥启用基于角色的访问权限
切换到基于角色的项目加密密钥访问权限
重要
如果将加密密钥切换为基于角色的访问权限,就无法撤销基于角色的访问权限配置,也无法恢复该项目上基于档案的加密密钥访问权限。
为 Atlas 集群启用客户密钥管理
在启用对项目加密密钥的基于角色的访问之后,必须对包含您想要加密的数据的每个 Atlas 集群启用客户密钥管理。
注意
您必须拥有 Project Owner 角色才能为该项目中的集群启用客户密钥管理。
对于新集群,请在创建集群时将 Manage your own encryption keys(管理自己的加密密钥)设置切换为 Yes(是)。
对于现有群组:
导航至项目的 Clusters(数据库部署)页面。
如果尚未显示,请从导航栏的 Organizations 菜单中选择包含所需项目的组织。
如果尚未显示该页,请从导航栏的 Projects(项目)菜单中选择所需的项目。
如果 Clusters(数据库部署)页面尚未出现,请单击侧边栏中的 Database(数据库)。
可选:从集群节点添加 IP 地址。
根据密钥管理服务配置,您可能需要将 Atlas 集群节点 IP 地址添加到云提供商 KMS 列表, 以便集群与 KMS 通信。 要启用集群与 KMS 之间的通信,请执行以下操作:
向
ipAddresses端点发送 GET 请求。 API 端点返回现有集群节点的 IP 地址列表,类似于以下内容:{ "groupId": "xxx", // ObjectId "services": { "clusters": [ { "clusterName": "Cluster0", "inbound": [ "3.92.113.229", "3.208.110.31", "107.22.44.69" ], "outbound": [ "3.92.113.229", "3.208.110.31", "107.22.44.69" ] } ] } } 将返回的 IP 地址添加到云提供商的 IP 访问列表。有关详细信息,请参阅使用 AWS、Azure 和 GCP 管理客户密钥的先决条件。
修改集群配置。
对于包含要加密的数据的集群,单击省略号 ...,然后选择 Edit Configuration。
启用集群加密。
展开 Additional Settings 面板。
将 Manage your own encryption keys 设置切换为 Yes。
查看并应用更改。
单击 Review Changes(连接)。
查看更改,然后单击 Apply Changes 以更新集群。
轮换 AWS 客户主密钥
注意
此功能不适用于
M0免费集群、M2和M5集群。如需了解更多信息,请参阅 Atlas M0(免费集群)、M2 和 M5 限制。无服务器实例目前不支持此功能。要了解更多信息,请参阅无服务器实例限制。
MongoDB 主密钥 - MongoDB 责任
当您使用自己的云提供商KMS时,Atlas 每90天自动轮换 MongoDB 主密钥。这些密钥滚动轮换,并且该过程不需要重写数据。
您的 AWS CMK - 您的责任
Atlas 不会自动轮换用于 AWS 提供的静态加密的 AWS CMK。
作为最佳实践,当您为 Atlas 项目 启用静态加密 时,Atlas 会创建一个alert 来提醒您默认每90 天轮换一次 AWS CMK 。您可以配置此警报的时间段。
您可以自行轮换 AWS CMK ,或将 AWS KMS 实例配置为 自动轮换 您的 CMK 。如果配置自动 AWS CMK 轮换,则默认轮换时间段约为365 天。
如果您已在 AWS 中设置自动 CMK 轮换,并且不希望收到每 90 天轮换一次 CMK 的 Atlas 警报,则可以将默认警报期限修改为大于 365 天或禁用警报。
本页面介绍如何在 Atlas 中创建新密钥和更新 CMK ID,以轮换 Atlas 项目 CMK。与 AWS KMS 自动 CMK 轮换相比,这种密钥轮换方法支持对轮换周期进行更精细的控制。
重要
采用静态加密的云备份
对于使用“静态加密”和“备份集群”的集群,Atlas 在创建快照时会使用项目的CMK和AWS IAM用户凭证来自动加密快照数据文件。这是在应用于所有 Atlas 存储和快照卷的现有加密基础上的额外加密层。
Atlas 不会在轮换后使用新的 CMK 重新加密快照。在检查项目中每个启用备份的集群是否有任何快照仍在使用该 CMK 之前,请勿删除旧 CMK。Atlas 会根据备份计划、保留和按需快照删除备份。在 Atlas 根据给定的 CMK 删除所有快照后,您可以安全地删除该 CMK。
步骤
导航至项目的 Advanced(数据库部署)页面。
如果尚未显示,请从导航栏的 Organizations 菜单中选择包含所需项目的组织。
如果尚未显示该页,请从导航栏的 Projects(项目)菜单中选择所需的项目。
单击侧边栏中的 Advanced(支持)。
在 Encryption at Rest using your Key Management(使用密钥管理进行静态加密)部分中,单击 Edit(编辑)。
更新 AWS CMK 详细信息。
输入以下信息:
字段操作AWS IAM role选择已有权访问 KMS 密钥的现有 AWS IAM 角色,或使用以下权限授权新角色并授予此角色访问 KMS 密钥的权限:
要了解更多信息,请参阅对项目加密密钥的基于角色的访问。
Customer Master Key ID输入您的 AWS 客户主密钥 ID。Customer Master Key Region选择创建 AWS CMK 的 AWS 区域。
注意
Atlas 仅列出支持 AWS KMS 的 AWS 地区。
单击 Save(连接)。
在 CMK 轮换过程中,Atlas 会在 Atlas 控制台中显示横幅。在部署更改之前,请勿删除或禁用 CMK。
在停电期间重新配置 AWS KMS 地区
区域中断期间,您的 AWS KMS 区域可能不可用。如果启用了“使用客户密钥管理进行静态加密”,就可以在至少一个节点仍然可用的情况下执行加密和解密操作。但是如果所有节点都不可用,就无法执行加密操作。如果节点在中断期间重新启动,则该节点将不可用。
要使不可用节点进入健康状态,您可以将当前 AWS KMS 区域重新配置为可用区域。要更改 KMS 区域,您的 AWS KMS 密钥必须是 多区域密钥 。要创建多区域密钥,请参阅 AWS 文档。
注意
您无法将单地区钥转换为多地区密钥。
步骤
要重新配置您的 AWS KMS 区域,请在 Atlas 中完成以下步骤:
导航至项目的 Advanced(数据库部署)页面。
如果尚未显示,请从导航栏的 Organizations 菜单中选择包含所需项目的组织。
如果尚未显示该页,请从导航栏的 Projects(项目)菜单中选择所需的项目。
单击侧边栏中的 Advanced(支持)。
在 Encryption at Rest using your Key Management(使用密钥管理进行静态加密)部分中,单击 Edit(编辑)。
验证 AWS CMK 凭证。
为确保 Atlas 不会重新加密您的数据,请验证 AWS IAM role 和 Customer Master Key ID 是否反映您的现有档案。
更新Customer Master Key Region 。
选择您已为其配置多地区密钥的另一个 AWS 区域。
单击 Save。
相关主题
要了解有关 MongoDB 静态加密的更多信息,请参阅 MongoDB 服务器文档中的静态加密。
要了解有关使用云备份进行静态加密的更多信息,请参阅存储引擎和云备份加密。