暗号化されたスナップショットへのアクセス
項目一覧
When you use Encryption at Rest using Customer Key Management, Atlas encrypts the mongod
data files in your snapshots. スナップショットをダウンロードして復元する場合、適切な復号キーを提供できる KMIPサーバーにアクセスしない限り、 mongod
はこれらのデータファイルを読み取ることができません。 KMIPプロキシ スタンドアロンを使用してmongod
データファイルにアクセスできます。 KMIPプロキシ スタンドアロン を、特定のオペレーティング システム用のバイナリとしてダウンロードします。
Considerations
デフォルトでは、 KMIPプロキシ スタンドアロンは/<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata
ファイルに保存されている認証情報を使用します。
キーをローテーションすると、これらの認証情報は最新のキー ローテーションを反映します。
KMIPプロキシ スタンドアロン バイナリがこれらの認証情報を使用してスナップショットを復号化できない場合、バイナリには古い認証情報を含むディスク上のメタデータ ファイルをアップデートする必要があることを示すエラー メッセージが表示されます。 任意のテキストエディタを使用してメタデータ ファイルを更新できます。
暗号化のキー へのロールベース アクセスを使用する場合、
/<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata
ファイルには有効な認証情報が含まれません。次のいずれかのアクションを実行します。
/<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata
ファイルを更新します。 空のroleId
を使用します。 フィールドと フィールドの暗号化のキーにアクセスできる IAM ロールに基づいて一時的な認証情報を提供します。accessKeyId
secretAccessKey
{ "accessKeyId": "TemporaryAccessKeyId", "secretAccessKey": "TemporarySecretAccessKey", "roleId": "", "region": "us-east-1" } 次のオプションを使用してKMIPプロキシ スタンドアロン バイナリを起動します。
awsAccessKey
awsSecretAccessKey
awsSessionToken
awsRegion
IAM ロールに基づいて一時的な認証情報を生成するには、Amazon Web Services のドキュメントを参照してください。
手順
AtlasClusters で、プロジェクトの ページに移動します。
まだ表示されていない場合は、希望するプロジェクトを含む組織を選択しますナビゲーション バーのOrganizationsメニュー
まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。
まだ表示されていない場合は、サイドバーの [ Clusters ] をクリックします。
[ Clusters (クラスター) ] ページが表示されます。
Backupクラスターの ページにGoします。
クラスターの名前をクリックします。
[Backup] タブをクリックします。
クラスターに [ Backup ] タブがない場合、そのクラスターでは Atlas バックアップは無効になり、スナップショットは使用できなくなります。 クラスターをスケーリングするときにバックアップを有効にすることができます。
バックアップページが表示されます。
KMIP プロキシ スタンドアロンをダウンロードします。
Preparing Snapshot Downloadモーダルで、 Download KMIP Proxyをクリックし、ご使用のオペレーティング システム用のバイナリを選択します。
Tip
download KMIP Proxy Standaloneリンクにアクセスするには、次のいずれかの手順を実行することもできます。
[Restores & Downloads] タブをクリックします。
Atlas で、プロジェクトの [Advanced] ページに移動します。
まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。
サイドバーで、 Security見出しの下のAdvancedをクリックします。
詳細ページが表示されます。
リンクはEncryption at Rest using your Key Managementセクションに表示されます。
KMIP プロキシ スタンドアロンを起動します。
ターミナルまたはコマンド プロンプト ウィンドウを開きます。
指定されたパラメーターを使用して次のコマンドを呼び出します。
kmipProxyStandalone -awsAccessKey <accessKey> -awsSecretAccessKey <secretAccessKey> \ -awsSessionToken <token> -awsRegion <region> -cloudProvider aws \ -dbpath <dbpath> -kmipPort <kmipPort> -mongodPort <mongodPort> Parameter説明awsAccessKey
カスタマー マスター キーにアクセスするための権限を持つIAMアクセス キー ID。
/<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata
ファイルにaccessKeyId
を指定しなかった場合にのみ必要です。awsSecretAccessKey
カスタマー マスター キーにアクセスする権限を持つIAMシークレット アクセス キー 。
/<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata
ファイルにsecretAccessKey
を指定しなかった場合にのみ必要です。awsSessionToken
一時的なAmazon Web Servicesのセキュリティ認証情報を付与するときに使用するトークン。awsRegion
Amazon Web Services Amazon Web Servicesカスタマー マスター キーが存在する Amazon Web Services のリージョン。
/<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata
ファイルにregion
を指定しなかった場合にのみ必要です。cloudProvider
クラウド サービス プロバイダー。 値はaws
である必要があります。dbpath
プロキシを作成するmongod
データディレクトリへのパス。kmipPort
KMIPプロキシを実行するポート。mongodPort
mongod
を実行するポート。kmipProxyStandalone -cloudProvider <azure|gcp> -dbpath <dbpath> \ -kmipPort <kmipPort> -mongodPort <mongodPort> Parameter説明cloudProvider
クラウド サービス プロバイダー。 有効な値はazure
またはgcp
です。dbpath
プロキシを作成するmongod
データディレクトリへのパス。kmipPort
KMIPプロキシを実行するポート。mongodPort
mongod
を実行するポート。
KMIPプロキシ スタンドアロンは、 localhost
のKMIP証明書を生成し、それをdbpath
に書込みます。
mongod
プロセスを開始します。
指定されたパラメーターを使用して次のコマンドを呼び出します。
mongod --dbpath <dbpath> --port <mongodPort> --enableEncryption --kmipPort <kmipPort> --kmipServerName 127.0.0.1 --kmipServerCAFile <dbpath>/kmipCA.pem --kmipActivateKeys false --kmipClientCertificateFile <dbpath>/kmipClient.pem
Parameter | 説明 |
---|---|
dbpath | mongod がデータを保存するディレクトリへのパス。 |
port | mongod がクライアント接続をリッスンするポート。 |
kmipPort | KMIPサーバーがリッスンするポート。 |
kmipServerCAFile | KMIPサーバーへの安全なクライアント接続を検証するために使用される CA ファイルへのパスです。 |
kmipActivateKeys | MongoDB サーバー v 5.2以降の場合、MongoDB サーバーのキーを有効にするか無効にするかを指定するフラグ。 MongoDB サーバーを起動するとき、このパラメータの値は false である必要があります。 |
kmipClientCertificateFile | KMIPサーバーに対して MongoDB を認証するために使用されるクライアント証明書へのパスです。 |
mongod
は127.0.0.1
にバインドされたKMIPサーバーとして機能し、指定されたkmipPort
上で実行されます。
mongod
プロセスに接続します。
データファイルにアクセスするには、 mongosh
、 MongoDB Compass 、またはmongodumpや mongorestore などの標準ユーティリティを介してmongod
に接続します。