Docs Menu
Docs Home
/
MongoDB Ops Manager
/
セキュリティ

暗号化されたバックアップ スナップショット

項目一覧

  • 前提条件
  • MongoDB Ops Managerの KMIP ホスト構成を設定する
  • KMIP を使用するようにプロジェクトを構成する
  • バックアップジョブの暗号化

スナップショットの暗号化は、データベースがどの MongoDB のバージョンと互換性があるかによって異なります。 この機能の互換性バージョンは、現在のバージョンから 1 つ前のバージョンまでの範囲です。 MongoDB 4.4の場合、FCV は 4.2または4.4になります。 暗号化されたクラスターからのみ暗号化されたスナップショットを作成できます。

MongoDB Ops Manager は、 MongoDB 4.2以降を実行中しているクラスターのバックアップスナップショットを暗号化しません。暗号化されたスナップショットは暗号化されたクラスターからのみ作成できるためです。

注意

MongoDB Ops Managerは、ローカルキーの暗号化を使用するデータベース配置からのクラスター スナップショットの作成をサポートしなくなりました。 ローカルキーの暗号化を使用してデータベース配置を暗号化すると、スナップショットは失敗します。 スナップショットを暗号化するには、データベース配置で KMIPベースの暗号化を使用します。

MongoDB Ops Managerは、ディスク上のバイトをホストのstorage.dbPathから読み取りにコピーして配置のスナップショットを作成します。 バックアップしているホストでMongoDB Encryption at Rest を有効にしている場合、 MongoDB Ops Managerが読み取りにコピーするバイトはすでに暗号化されています。 MongoDB Ops Managerは、ホストのディスクにデータを書き込むときに、ストレージエンジンレイヤーでデータを暗号化します。

MongoDB Ops Managerコンポーネントは、スナップショット取得時にKMIPホストとやり取りしません。

重要

バックアップデーモン は、暗号化されたバックアップの クエリ可能な復元ジョブ を処理するために KMIP ホストへの接続が必要です。

Tip

以下も参照してください。

MongoDB の保存時の暗号化

前提条件

暗号化キーを生成および保存するためのKMIP準拠キー管理を実行するホスト。

重要

クラスターはKMIPサーバーを使用する必要があります。 これらのクラスターは、ファイルを使用するローカル キー管理をサポートしていません。

重要

ローテーションされたキーであっても、すべてのキーをKMIPホスト内で管理する必要があります。

MongoDB Ops Managerの KMIP ホスト構成を設定する

1

[バックアップ] 構成タブに移動します。

  1. [ Adminをクリックします。

  2. [General] をクリックします。

  3. [Ops Manager Config] をクリックします。

  4. Click Backup tab.

Tip

以下も参照してください。

MongoDB Ops Managerの構成

2

KMIP フィールドを完了します。

KMIP Server Configurationセクションで次のKMIPホスト フィールドを更新します。

KMIP ホストの FQDN を入力します。
KMIPホストがKMIP接続をリッスンしているポートを入力します。 デフォルトの KMIP ポートは です5696
MongoDB Ops Managerホスト上の証明機関ファイルの絶対パスを入力します。 これは、 KMIPホストに保存されている同じ認証局ファイルである必要があります。
3

をクリックします。<a class=\" \" href=\" \" title=\" \"><svg xmlns=\" \" width=\" \" height=\" \" fill=\" \" viewbox=\" \" class=\" \" role=\" \" aria-label=\" \"><path fill=\" \" d=\" \"> <path fill=\" \" d=\" \">Save

KMIP を使用するようにプロジェクトを構成する

注意

プロジェクト内のすべての配置では、同じKMIPクライアント証明書ファイルを認証に使用します。

1

プロジェクトバックアップ の設定ページに移動します。

  1. クリック Admin

  2. クリック Projects

  3. <Project Name>[プロジェクト名]More ... の下にある ] をクリックします。

  4. Backup Configurationの行で、View をクリックします。

Tip

以下も参照してください。

プロジェクト

2

KMIP フィールドを完了します。

KMIP client certificate path

MongoDB Ops Managerホスト上のクライアント証明書ファイルの絶対パスを入力します。 MongoDB Ops Managerはこの証明書を使用して、KMIP サーバーに対して自分自身を認証します。

単一の ファイルに CA 証明書とクライアント証明書の両方を保持できます。

KMIP client certificate password
任意KMIP client certificate pathで指定された証明書が暗号化されている場合にのみ入力します。
3

をクリックします。<a class=\" \" href=\" \" title=\" \"><svg xmlns=\" \" width=\" \" height=\" \" fill=\" \" viewbox=\" \" class=\" \" role=\" \" aria-label=\" \"><path fill=\" \" d=\" \"> <path fill=\" \" d=\" \">Save Changes

バックアップジョブの暗号化

暗号化されたスナップショットは、暗号化されたクラスターからのみ作成できます。 バックアップしているホストでMongoDB Encryption at Rest を有効にしている場合、 MongoDB Ops Managerが読み取りにコピーするバイトはすでに暗号化されています。

戻る

システム全体の 2 要素認証の有効化

次へ

マスター KMIP キーのローテーション