ストレージ エンジンとクラウドバックアップの暗号化
Atlas はクラウドプロバイダーの標準ストレージ暗号化メソッドを使用してすべてのスナップショットを暗号化し、保管中のクラスター データのセキュリティを確保します。 クラウドプロバイダーが暗号化キーを管理します。
プロジェクトとクラスターでカスタマー キー管理を使用した の保管時の暗号化を使用する場合、 AtlasはKMS ( KMS )プロバイダーを使用してスナップショットに追加の暗号化レイヤーを適用します。
スナップショットの暗号化に使用されるキーを表示
カスタマー キー マネジメントを使用した保管時の暗号化 を使用するプロジェクトとクラスターの場合、 AtlasはKMS ( KMS )プロバイダーを使用します。
Amazon Web ServicesKMSでは、Atlas として IAM を使用するクラスターの場合、スナップショットの時点でプロジェクトのカスタマー マスター キー(CMK)とAmazon Web Services IAM ユーザーまたはロールの認証情報を使用して、スナップショットのデータファイルを自動的に暗号化します。これにより、すべての Atlas ストレージおよび snapshot のボリュームに適用されている既存の暗号化に暗号化レイヤーが追加されます。 oplogPIT 復元用に収集された データも、カスタマーの CMK で暗号化されます。
Atlasは、ID CMK の一意の と、 CMKAmazon Web Services にアクセスするために使用される IAM ユーザー認証情報または ロール を保存しています。Atlas は、スナップショットを復元するときにこの情報を使用します。 保管時の暗号化 を使用して、暗号化されたスナップショットにアクセスし、スナップショットを復元できます。
Azure Key VaultをKMSとして使用するクラスターの場合、 Atlasはスナップショットの時点でプロジェクトのキー識別子、キーヴォールト認証情報、および Active Directory アプリケーション アカウントの認証情報を使用して、スナップショットのデータファイルを自動的に暗号化します。 これにより、すべての Atlas ストレージおよび snapshot のボリュームに適用されている既存の暗号化に暗号化レイヤーが追加されます。 oplogPIT 復元用に収集された データも、カスタマーの CMK で暗号化されます。
Atlas は、スナップショットの暗号化に使用された Azure キー識別子の一意の ID を保存します。 Atlas は、キー識別子へのアクセスに使用される Azure Key Vault 認証情報と Active Domain アプリケーション アカウントの認証情報も保存します。 Atlas は、スナップショットを復元するときにこの情報を使用します。 保管時の暗号化 を使用して、暗号化されたスナップショットにアクセスし、スナップショットを復元できます。
AtlasはGoogle Cloud Platformサービス アカウント キーを使用して、 MongoDBマスターキーを暗号化および復号化します。 これらの MongoDB マスターキーは、クラスターのデータベースファイルとクラウドプロバイダーのスナップショットを暗号化するために使用されます。 oplogPIT 復元用に収集された データも、カスタマーの CMK で暗号化されます。保管時の暗号化 を使用して、暗号化されたスナップショットにアクセスし、スナップショットを復元できます。
手順
スナップショットの暗号化に使用されたキーを表示するには、以下を行います。
AtlasClusters で、プロジェクトの ページに移動します。
まだ表示されていない場合は、希望するプロジェクトを含む組織を選択しますナビゲーション バーのOrganizationsメニュー
まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。
まだ表示されていない場合は、サイドバーの [ Clusters ] をクリックします。
[ Clusters (クラスター) ] ページが表示されます。
Backupクラスターの ページにGoします。
クラスターの名前をクリックします。
[Backup] タブをクリックします。
クラスターに [ Backup ] タブがない場合、そのクラスターでは Atlas バックアップは無効になり、スナップショットは使用できなくなります。 クラスターをスケーリングするときにバックアップを有効にすることができます。
バックアップページが表示されます。
重要
Atlas は、スナップショットを正常に復元するために、スナップショットのEncryption Key IDに関連付けられた暗号化のキーにアクセスする必要があります。
キー管理を使用して Atlas Encryption at Rest で使用される暗号化キー ID を削除する前に、プロジェクト内のすべてのバックアップが有効なクラスターで、その暗号化キー ID をまだ使用しているスナップショットを確認してください。 暗号化キーを削除すると、そのキーで暗号化されたすべてのスナップショットにアクセスできなくなり、回復できなくなります。
Atlas は、 バックアップの予定、保持、オンデマンド スナップショットに従ってバックアップを自動的に削除します。 Atlas が特定の暗号化キー ID に依存するすべてのスナップショットを削除したら、キーを安全に削除できます。
暗号化キー ID を無効にする場合は、そのキーで暗号化されたスナップショットを復元する前に、キーを再度有効にする必要があります。
Atlas プロジェクトでキー管理を使用して保管時の暗号化を設定するに関する詳細なドキュメントについては、「 KMS を使用した保管時の暗号化 」を参照してください。 その後、 キー管理を使用して、新しいクラスターを配置するか、既存のクラスターで保管時の暗号化を有効にすることができます。