Docs Menu
Docs Home
/
MongoDB Atlas
/ /

暗号化されたスナップショットへのアクセス

項目一覧

  • Considerations
  • 手順

When you use Encryption at Rest using Customer Key Management, Atlas encrypts the mongod data files in your snapshots. スナップショットをダウンロードして復元する場合、適切な復号キーを提供できる KMIPサーバーにアクセスしない限り、 mongodはこれらのデータファイルを読み取ることができません。 KMIPプロキシ スタンドアロンを使用してmongodデータファイルにアクセスできます。 KMIPプロキシ スタンドアロン を、特定のオペレーティング システム用のバイナリとしてダウンロードします。

デフォルトでは、 KMIPプロキシ スタンドアロンは/<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadataファイルに保存されている認証情報を使用します。

  • キーをローテーションすると、これらの認証情報は最新のキー ローテーションを反映します。

  • KMIPプロキシ スタンドアロン バイナリがこれらの認証情報を使用してスナップショットを復号化できない場合、バイナリには古い認証情報を含むディスク上のメタデータ ファイルをアップデートする必要があることを示すエラー メッセージが表示されます。 任意のテキストエディタを使用してメタデータ ファイルを更新できます。

  • 暗号化のキー へのロールベース アクセスを使用する場合、 /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadataファイルには有効な認証情報が含まれません。

    次のいずれかのアクションを実行します。

    • /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadataファイルを更新します。 空のroleIdを使用します。 フィールドと フィールドの暗号化のキーにアクセスできる IAM ロールに基づいて一時的な認証情報を提供します。accessKeyIdsecretAccessKey

      {
      "accessKeyId": "TemporaryAccessKeyId",
      "secretAccessKey": "TemporarySecretAccessKey",
      "roleId": "",
      "region": "us-east-1"
      }
    • 次のオプションを使用してKMIPプロキシ スタンドアロン バイナリを起動します。

      • awsAccessKey

      • awsSecretAccessKey

      • awsSessionToken

      • awsRegion

    IAM ロールに基づいて一時的な認証情報を生成するには、Amazon Web Services のドキュメントを参照してください。

1
  1. まだ表示されていない場合は、希望するプロジェクトを含む組織を選択しますナビゲーション バーのOrganizationsメニュー

  2. まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。

  3. まだ表示されていない場合は、サイドバーの [ Clusters ] をクリックします。

    [ Clusters (クラスター) ] ページが表示されます。

2
  1. クラスターの名前をクリックします。

  2. [Backup] タブをクリックします。

    クラスターに [ Backup ] タブがない場合、そのクラスターでは Atlas バックアップは無効になり、スナップショットは使用できなくなります。 クラスターをスケーリングするときにバックアップを有効にすることができます。

    バックアップページが表示されます。

3
  1. まだ選択していない場合は、 Snapshotsタブをクリックします。

  2. Actions列で、次を展開します[ Actions ] メニューをクリックし、ダウンロードするスナップショットの [ Download ] をクリックします。

    Atlas はスナップショットを準備します。 ダウンロードの準備ができると、Atlas は 4 時間後に期限切れになる 1 回限りのダウンロード リンクを生成します。 Atlas でダウンロード リンクがメールで送信され、 Restores & Downloadsタブに表示されます。

4

Preparing Snapshot Downloadモーダルで、 Download KMIP Proxyをクリックし、ご使用のオペレーティング システム用のバイナリを選択します。

Tip

download KMIP Proxy Standaloneリンクにアクセスするには、次のいずれかの手順を実行することもできます。

  • [Restores & Downloads] タブをクリックします。

  • Atlas で、プロジェクトの [Advanced] ページに移動します。

    1. まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。

    2. まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。

    3. サイドバーで、 Security見出しの下のAdvancedをクリックします。

      詳細ページが表示されます。

    リンクはEncryption at Rest using your Key Managementセクションに表示されます。

5
  1. ターミナルまたはコマンド プロンプト ウィンドウを開きます。

  2. 指定されたパラメーターを使用して次のコマンドを呼び出します。

    kmipProxyStandalone
    -awsAccessKey <accessKey> -awsSecretAccessKey <secretAccessKey> \
    -awsSessionToken <token> -awsRegion <region> -cloudProvider aws \
    -dbpath <dbpath> -kmipPort <kmipPort> -mongodPort <mongodPort>
    Parameter
    説明
    awsAccessKey

    カスタマー マスター キーにアクセスするための権限を持つIAMアクセス キー ID。

    /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadataファイルにaccessKeyIdを指定しなかった場合にのみ必要です。

    awsSecretAccessKey

    カスタマー マスター キーにアクセスする権限を持つIAMシークレット アクセス キー 。

    /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadataファイルにsecretAccessKeyを指定しなかった場合にのみ必要です。

    awsSessionToken
    一時的なAmazon Web Servicesのセキュリティ認証情報を付与するときに使用するトークン。
    awsRegion

    Amazon Web Services Amazon Web Servicesカスタマー マスター キーが存在する Amazon Web Services のリージョン。

    /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadataファイルにregionを指定しなかった場合にのみ必要です。

    cloudProvider
    クラウド サービス プロバイダー。 値はawsである必要があります。
    dbpath
    プロキシを作成するmongodデータディレクトリへのパス。
    kmipPort
    KMIPプロキシを実行するポート。
    mongodPort
    mongodを実行するポート。
    kmipProxyStandalone
    -cloudProvider <azure|gcp> -dbpath <dbpath> \
    -kmipPort <kmipPort> -mongodPort <mongodPort>
    Parameter
    説明
    cloudProvider
    クラウド サービス プロバイダー。 有効な値はazureまたはgcpです。
    dbpath
    プロキシを作成するmongodデータディレクトリへのパス。
    kmipPort
    KMIPプロキシを実行するポート。
    mongodPort
    mongodを実行するポート。

KMIPプロキシ スタンドアロンは、 localhostKMIP証明書を生成し、それをdbpathに書込みます。

6

指定されたパラメーターを使用して次のコマンドを呼び出します。

mongod --dbpath <dbpath> --port <mongodPort> --enableEncryption --kmipPort <kmipPort> --kmipServerName 127.0.0.1 --kmipServerCAFile <dbpath>/kmipCA.pem --kmipActivateKeys false --kmipClientCertificateFile <dbpath>/kmipClient.pem
Parameter
説明
dbpath
mongodがデータを保存するディレクトリへのパス。
port
mongodがクライアント接続をリッスンするポート。
kmipPort
KMIPサーバーがリッスンするポート。
kmipServerCAFile
KMIPサーバーへの安全なクライアント接続を検証するために使用される CA ファイルへのパスです。
kmipActivateKeys
MongoDB サーバー v 5.2以降の場合、MongoDB サーバーのキーを有効にするか無効にするかを指定するフラグ。 MongoDB サーバーを起動するとき、このパラメータの値はfalseである必要があります。
kmipClientCertificateFile
KMIPサーバーに対して MongoDB を認証するために使用されるクライアント証明書へのパスです。

mongod127.0.0.1にバインドされたKMIPサーバーとして機能し、指定されたkmipPort上で実行されます。

7

データファイルにアクセスするには、 mongoshMongoDB Compass 、またはmongodumpや mongorestore などの標準ユーティリティを介してmongodに接続します

保管時の暗号化を使用してスナップショットを復元することもできます。

戻る

暗号化