비공개 엔드포인트를 통한 Azure Key Vault 로 고객 키 관리
이 페이지의 내용
참고
AKV( Azure Key Vault )의 고객 관리형 키( CMK )를 사용하여 Atlas 에 있는 미사용 미사용 데이터 를 추가로 암호화할 수 있습니다. AKV 에 대한 모든 트래픽이 Azure Private Link 를 사용하도록 구성할 수도 있습니다.
이 페이지에서는 Atlas 관리 API 를 사용하여 AKV 에서 Azure Private Link 를 자동으로 설정하다 하여 Atlas 와 AKV 간의 모든 트래픽이 Azure 의 비공개 네트워크 인터페이스를 통해 발생하도록 하는 방법을 설명합니다.
고려 사항
비공개 엔드포인트 를 통한 AKV 를 사용하여 미사용 데이터 암호화를 활성화 하기 전에 다음 사용 사례, 이점, 제한 사항 및 전제 조건을 검토 하세요.
사용 사례
Atlas 배포서버 가 단일 cloud 서비스 제공자 에 있다고 가정해 보겠습니다. 이제 AKV 에 대한 모든 액세스 는 cloud 제공자의 비공개 네트워킹 인프라를 통해 이루어져야 합니다. 이 페이지에서는 Atlas 프로젝트 에 대해 비공개 엔드포인트 연결을 활성화 하는 단계를 안내합니다.
혜택
Atlas 관리 API 를 사용하여 Atlas 가 비공개 엔드포인트를 사용하여 AKV 로 미사용 데이터 암호화를 구성하도록 허용할 수 있습니다. 이렇게 하면 AKV 에 대한 모든 트래픽이 비공개 엔드포인트 설정하다 를 통과할 수 있으며 AKV 가 공용 인터넷 또는 공용 IP 주소에 노출되는 것을 방지할 수 있습니다. 허용된 IP 주소를 유지하면서 모든 AKV 트래픽을 Azure 의 비공개 네트워크 내에 유지하여 데이터 보안을 강화할 필요가 없습니다.
제한 사항
Atlas 는 멀티클라우드 배포를 위해 비공개 엔드포인트를 통한 CMK 를 사용한 미사용 데이터 암호화를 지원 하지 않습니다. 멀티클라우드 클러스터가 있는 기존 프로젝트 에서 Azure Private Link 를 통한 CMK 를 사용하여 미사용 데이터 미사용 데이터 암호화 를 활성화 하는 경우, Atlas 는 프로젝트 에서 멀티클라우드 클러스터를 비활성화합니다.
Atlas 는 INACTIVE 상태 의 프로젝트에 대해 비공개 엔드포인트를 통한 CMK 를 사용하는 미사용 데이터 암호화를 지원 하지 않습니다.
전제 조건
MongoDB 프로젝트 에 대해 AKV 로 고객 관리 키를 활성화 하려면 다음을 수행해야 합니다.
M10 이상의 클러스터를 사용해야 합니다.
Azure 계정과 Key Vault 자격 증명, 그리고 AKV 에 있는 암호화 키 의 키 식별자가 있어야 합니다.
계정의 경우 클라이언트 ID, 테넌트 ID 및 시크릿이 있어야 합니다.
키 볼트의 경우 구독 ID, 리소스 그룹 이름 및 키 볼트 이름이 있어야 합니다.
이러한 Azure 구성 요소를 구성하는 방법을 학습 보려면 Azure 설명서를 참조하세요.
Atlas는 Atlas 프로젝트의 cluster에 대해 미사용 데이터 암호화를 활성화할 때 이 같은 리소스를 사용합니다.
App registrations 에서 일반적이지 않은 조건부 액세스 정책을 사용하는 경우 앱 등록을 위해 Atlas 컨트롤 플레인 IP 주소의 요청을 허용해야 합니다. 이는 앱 등록에만 사용되며 키 볼트 액세스 에는 사용되지 않습니다.
참고
Azure 구독 리소스 제공자 아래에 Microsoft .Network 를 등록해야 합니다. 학습 내용은 Azure 설명서를 참조하세요.
절차
프로젝트에서 고객 관리형 키 비활성화하기
해당 프로젝트 의 클러스터 에서 CMK를 활성화 하려면 먼저 프로젝트 에 대해 CMK 를 활성화 해야 합니다. Atlas UI 및 Atlas 관리 API 에서 프로젝트 에 CMK 를 활성화 할 수 있습니다.
Atlas에서 프로젝트의 Advanced 페이지로 이동합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Advanced를 클릭합니다.
고급 페이지가 표시됩니다.
Account Credentials을(를) 입력합니다.
클라이언트 ID | Azure 애플리케이션의 Client ID (또는 Application ID)를 입력합니다. Active Directory Application 에 필요한 액세스를 할당했는지 확인합니다. 자세한 학습은 필수 액세스를 참조하세요. |
테넌트 ID | Active Directory 테넌트의 Tenant ID (또는 Directory ID)을 입력합니다. |
비밀 | Active Directory 테넌트와 연결된 애플리케이션의 만료되지 않은 클라이언트 시크릿 중 하나를 입력합니다. |
Azure 환경 | Active 디렉토리 테넌트가 있는 Azure 클라우드를 선택합니다. |
Encryption Key을(를) 입력합니다.
키 식별자 | 키 볼트에서 생성된 키의 전체 URL을 입력합니다. 중요: 키 식별자는 전체 Azure 일반 형식으로 제공되어야 합니다. |
(선택 사항)AKV 에 대한 비공개 엔드포인트 연결을 구성합니다.
학습 보려면 프로젝트에 대한 비공개 엔드포인트 연결 활성화 및 설정을참조하세요.
네트워크 설정을 확인합니다.
Atlas Administration API 를 사용하여 Atlas 를 구성하여 Azure Private Link 를 사용하여 AKV 와 통신하여 Atlas 와 Key Vault 간의 모든 트래픽이 Azure 의 비공개 네트워크 인터페이스를 통해 발생하도록 한 경우, Atlas 는 Require Private Networking 상태를 Active 로 설정합니다. 상태가 인 Inactive 경우, 선택적으로 Atlas 가 AKV 에 비공개 엔드포인트 연결을 사용하도록 하려면 프로젝트에 대한 비공개 엔드포인트 연결 활성화 및 설정 단계를 완료할 수 있습니다.
엔드포인트 에 PATCH 요청 encryptionAtRest 을 보냅니다.
예시
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-05-30+json" \ --header "Content-Type: application/vnd.atlas.2024-05-30+json" \ --request PATCH "https://cloud.mongodb.com/api/atlas/v2/groups/66c9e8f1dd6c9960802420e9/encryptionAtRest" \ --data ' { "azureKeyVault": { "azureEnvironment": "AZURE", "clientID": "b054a9ff-b60a-4cb6-8df6-20726eaefce6", "enabled": true, "keyIdentifier": "https://test-tf-export.vault.azure.net/keys/test/78b9134f9bc94fda8027a32b4715bf3f", "keyVaultName": "test-tf-export", "resourceGroupName": "test-tf-export", "secret": "", "subscriptionID": "009774e0-124f-4a69-83e0-ca8cd8acb4e2", "tenantID": "1f6ef922-9303-402a-bae2-cc68810b023c" } }'
참고
AKV에대한 비공개 엔드포인트 연결을 활성화 하고 설정하다 한 후에는 다음 설정을 수정할 수 없습니다.
keyVaultNameresourceGroupNamesubscriptionID
프로젝트 에 CMK 를 사용하여 미사용 데이터 암호화에 대한 구성을 확인합니다.
AKV 를 사용하여 관리 하는 키를 사용하여 미사용 데이터 미사용 데이터 암호화 를 활성화 하고 구성 요청 을 확인하려면 encryptionAtRest 엔드포인트에 GET 요청 을 보냅니다.
예시
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-05-30+json" \ --header "Content-Type: application/vnd.atlas.2024-05-30+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest"
{ "azureKeyVault": { "azureEnvironment": "AZURE", "clientID": "632ff709-32a8-48a3-8224-30d2386fadaf", "enabled": true, "keyIdentifier": "https://EXAMPLEKeyVault.vault.azure.net/keys/EXAMPLEKey/d891821e3d364e9eb88fbd3d11807b86", "keyVaultName": "string", "requirePrivateNetworking": false, "resourceGroupName": "string", "subscriptionID": "a39012fb-d604-4cd1-8841-77f705f3e6d5", "tenantID": "ee46317d-36a3-4472-a3dd-6549e901da0b", "valid": true } }
프로젝트 에서 CMK 를 사용한 미사용 데이터 암호화가 성공적으로 활성화된 경우 응답에서 enabled 은 true 입니다. Atlas 와 Key Vault 간의 모든 트래픽이 Azure 의 비공개 네트워크 인터페이스를 통해 발생하도록 비공개 네트워킹을 설정하다 수 있습니다. 학습 내용 은 프로젝트에 대한 비공개 엔드포인트 연결 활성화 및 설정을 참조하세요.
프로젝트에 대한 비공개 엔드포인트 연결 활성화 및 설정
Atlas UI 및 Atlas 관리 API 사용하여 비공개 엔드포인트 활성화 하고 설정하다 수 있습니다. AKV 에서 비공개 네트워킹을 활성화 하고 비공개 엔드포인트를 설정하다 하려면 다음을 수행해야 합니다.
프로젝트 에 고객 관리형 키를 활성화 하는 단계를 완료합니다.
자세한 학습 은 프로젝트에 고객 관리형 키 활성화를 참조하세요.
비공개 엔드포인트 승인합니다.
Azure UI 를 사용할 수 있습니다. , CLI 또는 Terraform을 사용하여 비공개 엔드포인트 연결을승인할 수 있습니다.
승인하면 Atlas 공용 인터넷을 사용한 연결을 허용하는 기존 클러스터를 포함하여 고객 managed 형 키를 활성화한 모든 클러스터를 비공개 엔드포인트 연결만 사용하도록 자동으로 마이그레이션합니다. 비공개 엔드포인트 연결을 사용하도록 클러스터를 마이그레이션한 후 선택적으로 AKV 에 대한 공개 인터넷 액세스 비활성화할 수 있습니다. Azure 의 모든 새 Atlas 클러스터는 기본값 으로 활성 비공개 엔드포인트 연결만 사용합니다. Atlas 승인된 비공개 엔드포인트 있는 리전에서만 기존 클러스터에 대한 추가 노드를 배포합니다.
비공개 엔드포인트를 승인한 후 Atlas 비공개 엔드포인트의 현재 상태를 반영하는 데 최대 3분이 걸릴 수 있습니다. 각 리전 의 비공개 엔드포인트 의 경우 Approve Endpoints 페이지에 각 비공개 엔드포인트의 상태가 표시됩니다. 자세한 학습 은 비공개 엔드포인트 및 해당 상태 보기를 참조하세요.
비공개 네트워킹을 활성화합니다.
엔드포인트 에 PATCH 요청 을 보내고 requirePrivateNetworking 플래그 값을 true 로 설정하다 합니다.
예시
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2023-01-01+json" \ --header "Content-Type: application/vnd.atlas.2023-01-01+json" \ --include \ --request PATCH "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/" \ --data ' { "azureKeyVault": { "azureEnvironment": "AZURE", "clientID": "632ff709-32a8-48a3-8224-30d2386fadaf", "enabled": true, "keyIdentifier": "https://EXAMPLEKeyVault.vault.azure.net/keys/EXAMPLEKey/d891821e3d364e9eb88fbd3d11807b86", "keyVaultName": "string", "requirePrivateNetworking": true, "resourceGroupName": "string", "secret": "string", "subscriptionID": "a39012fb-d604-4cd1-8841-77f705f3e6d5", "tenantID": "ee46317d-36a3-4472-a3dd-6549e901da0b" } }'
비공개 엔드포인트를 생성합니다.
Atlas 에서 비공개엔드포인트를 생성하려는 Azure 리전 이 POST 있는 엔드포인트 에 요청 을 보냅니다. Atlas 에서 비공개 엔드포인트를 생성하려는 각 리전 에 대해 별도의 요청 을 보내야 합니다.
예시
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2023-01-01+json" \ --header "Content-Type: application/vnd.atlas.2023-01-01+json" \ --include \ --request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints" \ --data ' { "regionName": "US_CENTRAL" }'
비공개 엔드포인트를 승인한 후에는 다음과 같은 제한 사항 적용.
Atlas 는 승인된 비공개 엔드포인트 가 있는 리전에서만 모든 새 클러스터를 생성합니다.
Atlas 는 승인된 비공개 엔드포인트 가 있는 리전에서만 기존 클러스터에 대한 추가 노드를 배포합니다.
AKV 에 대한 비공개 엔드포인트 연결을 승인합니다.
Azure UI 를 사용할 수 있습니다. , CLI 또는 Terraform을 사용하여 비공개 엔드포인트 연결을승인할 수 있습니다.
승인하면 Atlas 는 공용 인터넷을 사용한 연결을 허용하는 기존 클러스터를 포함하여 고객 managed 키 를 활성화한 모든 클러스터를 비공개 엔드포인트 연결만 사용하도록 자동으로 마이그레이션합니다. 비공개 엔드포인트 연결을 사용하도록 클러스터를 마이그레이션한 후 선택적으로 AKV 에 대한 공개 인터넷 액세스 를 비활성화할 수 있습니다. Azure 의 모든 새 Atlas 클러스터는 기본값 활성 비공개 엔드포인트 연결만 사용합니다.
요청 상태를 확인합니다.
비공개 엔드포인트의 상태를 확인하려면 encryptionAtRest 엔드포인트에 GET 요청 을 보냅니다 .
예시
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2023-01-01+json" \ --header "Content-Type: application/vnd.atlas.2023-01-01+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints"
{ "links": [ { "href": "https://cloud.mongodb.com/api/atlas", "rel": "self" } ], "results": [ { "cloudProvider": "AZURE", "errorMessage": "string", "id": "24-hexadecimal-digit-string", "regionName": "string", "status": "INITIATING", "privateEndpointConnectionName": "string" } ], "totalCount": 0 }
비공개 엔드포인트를 승인한 후 Atlas 가 비공개 엔드포인트의 현재 상태를 반영하는 데 최대 3분이 걸릴 수 있습니다. 비공개 엔드포인트의 상태는 다음 중 하나일 수 있습니다.
INITTING | Atlas 가 비공개 엔드포인트를 생성하는 프로세스 을 나타냅니다. |
PENDING_ACCEPTance | 비공개 엔드포인트가 아직 승인되지 않았음을 나타냅니다. Atlas 에서 사용할 수 있도록 하려면 비공개 엔드포인트를 수락해야 합니다. |
활성 | 비공개 엔드포인트가 승인되었으며 Atlas 에서 사용할 수 있거나 사용 중임을 나타냅니다. |
PENDING_RECREATION | 비공개 엔드포인트가 거부되거나 제거되었으며 Atlas 가 동일한 리전 에서 새 비공개 엔드포인트를 생성하는 프로세스 을 나타냅니다. |
실패하였습니다. | 비공개 엔드포인트 생성에 실패했음을 나타냅니다. |
삭제 | Atlas 가 비공개 엔드포인트를 삭제하는 프로세스 을 나타냅니다. |
프로젝트에 대해 CMK 를 사용한 미사용 데이터 암호화(사설 네트워킹을 통한)를 활성화 한 후 프로젝트 의 각 Atlas cluster 에 대해 CMK 를 사용한 미사용 데이터 암호화를 활성화 할 수 프로젝트.
Atlas 클러스터에 대한 고객 키 관리 활성화
Enable Customer-Managed Keys for a Project(프로젝트에 고객 관리형 키 활성화)를 활성화한 후에는 암호화하려는 데이터가 포함된 각 Atlas cluster 에 대해 고객 키 관리 를 활성화 해야 합니다. Atlas 프로젝트 에 비공개 엔드포인트 연결을 구성한 경우, Atlas 는 공용 인터넷을 사용한 연결을 허용하는 기존 클러스터를 포함하여 이미 고객 managed 키 를 활성화한 모든 클러스터가 비공개 엔드포인트 연결만 사용하도록 자동으로 마이그레이션합니다.
참고
해당 프로젝트의 클러스터에 대한 고객 키 관리를 사용하려면 Project Owner 역할이 있어야 합니다.
새 클러스터의 경우, 클러스터 를 생성할 때 자체 암호화 키 관리 설정을 Yes 로 전환하고, 아직 활성화되어 있지 않은 경우 로 전환합니다.
기존 클러스터의 경우:
Atlas에서 프로젝트의 Clusters 페이지로 이동합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 원하는 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Projects 메뉴에서 원하는 프로젝트를 선택합니다.
아직 표시되지 않은 경우 사이드바에서 Clusters를 클릭합니다.
Clusters(클러스터) 페이지가 표시됩니다.
프로젝트에서 고객 관리형 키 비활성화하기
프로젝트 에 대해 CMK 비활성화하려면 상태 에 관계없이 먼저 프로젝트 와 연결된 모든 비공개 엔드포인트 제거 해야 합니다. 활성 비공개 엔드포인트 와 연결된 프로젝트 에 대해 CMK 비활성화하려고 하면 Atlas 에서 오류를 표시합니다.
프로젝트의 모든 비공개 엔드포인트 를 제거한 후에는 프로젝트 의 각 클러스터 에서 고객 키 관리 를 비활성화해야 프로젝트 에서 해당 기능 을 비활성화할 수 프로젝트.
경고
Atlas 프로젝트 내에서 고객 키 관리 를 비활성화하기 전에는 Atlas 프로젝트 의 클러스터 에서 사용하는 AKV 키를 비활성화하거나 삭제 하지 마세요 . Atlas 가 AKV 키에 액세스 할 수 없는 경우, 키로 암호화됨 모든 데이터에 액세스할 수 없게 됩니다.
프로젝트에 대한 새 엔드포인트 만들기
프로젝트 에 대한 비공개 엔드포인트 연결을 활성화하고 설정한 후에는 Atlas UI 및 Atlas 관리 API 에서 언제든지 엔드포인트를 추가할 수 있습니다.
Atlas에서 프로젝트의 Advanced 페이지로 이동합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Advanced를 클릭합니다.
고급 페이지가 표시됩니다.
Private Endpoints for Azure Key Vault 페이지로 고 (Go) .
Advanced 페이지의 Encryption at Rest using your Key Management 섹션에서 다음 작업을 수행합니다.
Azure Key Vault 이 접힌 경우 Network Settings 를 펼칩니다.
Manage를 클릭합니다.
Private Endpoints for Azure Key Vault 페이지에는 리전, 엔드포인트 이름, Atlas cluster의 비공개 엔드포인트 상태, 비공개 엔드포인트 에서 수행할 수 있는 조치가 표시됩니다.
비공개 엔드포인트 승인합니다.
비공개 엔드포인트를 사용하려면 AKV 의 각 엔드포인트를 승인해야 합니다. Azure UI, CLI 또는 Terraform을 사용하여 비공개 엔드포인트 연결을 승인할 수 있습니다.
각 리전 의 비공개 엔드포인트 의 경우 Approve Endpoints 페이지에 각 비공개 엔드포인트의 상태가 표시됩니다. 비공개 엔드포인트를 승인한 후 Atlas 비공개 엔드포인트의 현재 상태를 반영하는 데 최대 3분이 걸릴 수 있습니다. 비공개 엔드포인트 상태에 대해 자세히 학습 비공개 엔드포인트 및 해당 상태 보기를 참조하세요.
비공개 엔드포인트를 생성합니다.
Atlas 에서 비공개엔드포인트를 생성하려는 Azure 리전 이 POST 있는 엔드포인트 에 요청 을 보냅니다. Atlas 에서 비공개 엔드포인트를 생성하려는 각 리전 에 대해 별도의 요청 을 보내야 합니다.
예시
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2023-01-01+json" \ --header "Content-Type: application/vnd.atlas.2023-01-01+json" \ --include \ --request POST "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints" \ --data ' { "regionName": "US_CENTRAL" }'
AKV 에 대한 비공개 엔드포인트 연결을 승인합니다.
Azure UI 를 사용할 수 있습니다. , CLI 또는 Terraform을 사용하여 비공개 엔드포인트 연결을승인할 수 있습니다.
요청 상태를 확인합니다.
비공개 엔드포인트의 상태를 확인하려면 encryptionAtRest 엔드포인트에 GET 요청 을 보냅니다 .
예시
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2023-01-01+json" \ --header "Content-Type: application/vnd.atlas.2023-01-01+json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints"
{ "links": [ { "href": "https://cloud.mongodb.com/api/atlas", "rel": "self" } ], "results": [ { "cloudProvider": "AZURE", "errorMessage": "string", "id": "24-hexadecimal-digit-string", "regionName": "string", "status": "INITIATING", "privateEndpointConnectionName": "string" } ], "totalCount": 0 }
비공개 엔드포인트를 승인한 후 Atlas 가 비공개 엔드포인트의 현재 상태를 반영하는 데 최대 3분이 걸릴 수 있습니다. 비공개 엔드포인트의 상태는 다음 중 하나일 수 있습니다.
INITTING | Atlas 가 비공개 엔드포인트를 생성하는 프로세스 을 나타냅니다. |
PENDING_ACCEPTance | 비공개 엔드포인트가 아직 승인되지 않았음을 나타냅니다. Atlas 에서 사용할 수 있도록 하려면 비공개 엔드포인트를 수락해야 합니다. |
활성 | 비공개 엔드포인트가 승인되었으며 Atlas 에서 사용할 수 있거나 사용 중임을 나타냅니다. |
PENDING_RECREATION | 비공개 엔드포인트가 거부되거나 제거되었으며 Atlas 가 동일한 리전 에서 새 비공개 엔드포인트를 생성하는 프로세스 을 나타냅니다. |
실패하였습니다. | 비공개 엔드포인트 생성에 실패했음을 나타냅니다. |
삭제 | Atlas 가 비공개 엔드포인트를 삭제하는 프로세스 을 나타냅니다. |
비공개 엔드포인트 연결 거부 또는 제거
Atlas UI 및 Atlas 관리 API 에서 비공개 엔드포인트 연결을 제거 할 수 있습니다.
Atlas에서 프로젝트의 Advanced 페이지로 이동합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Advanced를 클릭합니다.
고급 페이지가 표시됩니다.
Private Endpoints for Azure Key Vault 페이지로 고 (Go) .
Advanced 페이지의 Encryption at Rest using your Key Management 섹션에서 다음 작업을 수행합니다.
Azure Key Vault 이 접힌 경우 Network Settings 를 펼칩니다.
Manage를 클릭합니다.
Private Endpoints for Azure Key Vault 페이지에는 리전, 엔드포인트 이름, Atlas cluster의 비공개 엔드포인트 상태, 비공개 엔드포인트 에서 수행할 수 있는 조치가 표시됩니다.
비공개 엔드포인트를 제거 하려면 Atlas 관리 API 엔드포인트 에 DELETE 요청 보내고 삭제 하려는 프로젝트 및 비공개 엔드포인트의 ID 를 지정합니다. 삭제 하려는 비공개 엔드포인트의 ID 조회 하려면 GET Atlas Administration API Return One Private Endpoint Service for One Provider endpoint(1개의 제공자 엔드포인트에 대해 1개의 비공개 엔드포인트 서비스 반환)에 요청 전송합니다.
예시
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API --header "Content-Type: application/json" \ --include \ --request DELETE "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints/{endpointId}" \ --data ' { "cloudProvider": "AZURE", "regions": [ "string" ] }'
비공개 엔드포인트를 삭제 하면 비공개 엔드포인트가 DELETING 상태로 전환되고 Atlas 비공개 엔드포인트를 삭제합니다.
Azure UI 에서 활성 비공개 엔드포인트를 제거 거부하면 Atlas 동일한 리전 에 새 비공개 엔드포인트를 자동으로 다시 생성하려고 시도합니다. Atlas UI 및 Atlas 관리 API 에서 비공개 엔드포인트의 상태를 확인할 수 있습니다. 자세한 학습 은 비공개 엔드포인트 및 해당 상태 보기를 참조하세요.
Atlas 가 새 비공개 엔드포인트를 만들려고 시도하는 동안 거부하거나 제거한 비공개 엔드포인트의 상태는 PENDING_RECREATION (으)로 전환되고 Atlas 가 생성을 시도하는 새 엔드포인트는 INITIATING 상태 가 됩니다. 새 비공개 엔드포인트를 만든 후에는 승인해야 합니다.
비공개 엔드포인트 및 상태 보기
Atlas UI 및 Atlas 관리 API 에서 다양한 리전의 비공개 엔드포인트 와 해당 상태를 볼 수 있습니다.
Atlas에서 프로젝트의 Advanced 페이지로 이동합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Advanced를 클릭합니다.
고급 페이지가 표시됩니다.
Private Endpoints for Azure Key Vault 페이지로 고 (Go) .
Advanced 페이지의 Encryption at Rest using your Key Management 섹션에서 다음 작업을 수행합니다.
Azure Key Vault 이 접힌 경우 Network Settings 를 펼칩니다.
Manage를 클릭합니다.
Private Endpoints for Azure Key Vault 페이지에는 리전, 엔드포인트 이름, Atlas cluster의 비공개 엔드포인트 상태, 비공개 엔드포인트 에서 수행할 수 있는 조치가 표시됩니다.
각 비공개 엔드포인트는 다음 상태 중 하나일 수 있습니다.
승인 보류 중 | 비공개 엔드포인트가 아직 승인되지 않았음을 나타냅니다. Atlas 에서 사용할 수 있도록 하려면 비공개 엔드포인트를 수락해야 합니다. |
활성 | 비공개 엔드포인트가 승인되었으며 Atlas 에서 사용할 수 있거나 사용 중임을 나타냅니다. |
실패하였습니다. | 비공개 엔드포인트 생성에 실패했음을 나타냅니다. |
Atlas Administration API 에 GET 요청 전송하여 Atlas Administration API 에서 encryptionAtRest 비공개 엔드포인트와 상태 ID 볼 수 있습니다. 경로.
예시
1개의 프로젝트에 대해 모든 비공개 엔드포인트 반환
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/vnd.atlas.2024-10-23+json" \\ or a different version of the Atlas Admin API --header "Content-Type: application/json" \ --include \ --request GET "https://cloud.mongodb.com/api/atlas/v2/groups/{groupId}/encryptionAtRest/AZURE/privateEndpoints/"
각 비공개 엔드포인트는 다음 상태 중 하나일 수 있습니다.
INITTING | Atlas 가 비공개 엔드포인트를 생성하는 프로세스 을 나타냅니다. |
PENDING_ACCEPTance | 비공개 엔드포인트가 아직 승인되지 않았음을 나타냅니다. Atlas 에서 사용할 수 있도록 하려면 비공개 엔드포인트를 수락해야 합니다. |
활성 | 비공개 엔드포인트가 승인되었으며 Atlas 에서 사용할 수 있거나 사용 중임을 나타냅니다. |
PENDING_RECREATION | 비공개 엔드포인트가 거부되거나 제거되었으며 Atlas 가 동일한 리전 에서 새 비공개 엔드포인트를 생성하는 프로세스 을 나타냅니다. |
실패하였습니다. | 비공개 엔드포인트 생성에 실패했음을 나타냅니다. |
삭제 | Atlas 가 비공개 엔드포인트를 삭제하는 프로세스 을 나타냅니다. |
프로젝트에 대한 비공개 엔드포인트 연결 비활성화
프로젝트 의 비공개 엔드포인트 연결을 비활성화하려면 먼저 상태 에 관계없이 프로젝트 와 연결된 모든 비공개 엔드포인트 제거 해야 합니다. 프로젝트 활성 비공개 엔드포인트 와 연결된 경우 Atlas 프로젝트 에 대한 비공개 엔드포인트 연결을 비활성화하지 않습니다.
프로젝트 의 모든 비공개 엔드포인트 제거한 후, Atlas UI 와 Atlas 관리 API 사용하여 프로젝트 에 대한 비공개 엔드포인트 연결을 비활성화할 수 있습니다.
Atlas에서 프로젝트의 Advanced 페이지로 이동합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Advanced를 클릭합니다.
고급 페이지가 표시됩니다.
비공개 엔드포인트 연결을 비활성화하려면 requirePrivateNetworking 부울 플래그 값을 false로 설정하다 엔드포인트 에 PATCH 요청 보냅니다.
예시
{ "azureKeyVault": { "azureEnvironment": "AZURE", "clientID": "632ff709-32a8-48a3-8224-30d2386fadaf", "enabled": true, "keyIdentifier": "https://EXAMPLEKeyVault.vault.azure.net/keys/EXAMPLEKey/d891821e3d364e9eb88fbd3d11807b86", "keyVaultName": "string", "requirePrivateNetworking": false, "resourceGroupName": "string", "secret": "string", "subscriptionID": "a39012fb-d604-4cd1-8841-77f705f3e6d5", "tenantID": "ee46317d-36a3-4472-a3dd-6549e901da0b" } }
암호화 키에 대한 액세스 권한 철회하기
AKV 내에서 암호화 키 에 대한 Atlas의 액세스 를 취소하여 데이터를 동결할 수 있습니다. 암호화 키 에 액세스 를 취소하면 Atlas 가 클러스터를 자동으로 일시 중지합니다.
Azure 키 식별자 회전하기
참고
시작하기 전에 Azure 키 식별자 순환 정보를 학습 보세요.
Atlas 프로젝트 와 연결된 AKV 에서 새 키를 만들어야 합니다. 다음 절차에서는 Atlas 에서 새 키 식별자를 지정하여 Atlas 프로젝트 키 식별자를 회전하는 방법을 설명합니다.
Atlas에서 프로젝트의 Advanced 페이지로 이동합니다.
아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.
아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.
사이드바에서 Security 제목 아래의 Advanced를 클릭합니다.
고급 페이지가 표시됩니다.
Azure 자격 증명을 업데이트합니다.
Azure Key Vault 선택자가 아직 활성화되지 않은 경우 Azure Key Vault 클릭합니다.
Encryption Key 선택자가 아직 활성화되지 않은 경우 Encryption Key 클릭합니다.
Key Identifier 필드에 Azure 키 식별자를 입력합니다.
새 암호화 키 식별자에 대한 전체 URL을 포함합니다. 예시:
https://mykeyvault.vault.azure.net/keys/AtlasKMSKey/a241124e3d364e9eb99fbd3e11124b23 중요
암호화 키는 반드시 프로젝트에 구성된 Key Vault에 있어야 합니다. Key Vault 섹션을 클릭하면 현재 프로젝트에 구성된 Key Vault를 볼 수 있습니다.
Update Credentials를 클릭합니다.
키 식별자 회전 프로세스 중에는 Atlas UI에 배너가 표시됩니다. 변경 사항이 배포될 때까지 원래 키 식별자를 삭제하거나 비활성하지 마세요.
클러스터에서 클러스터 백업을 사용하는 경우 암호화에 해당 키를 사용하는 스냅샷이 없는지 확인할 때까지 원래 키 식별자를 삭제하거나 비활성화하지 마세요.
관련 주제
Atlas 클러스터를 배포할 때 키 관리를 사용하여 저장된 암호화를 활성화하려면 자체 암호화 키 관리를 참조하세요.
기존 Atlas 클러스터에 대해 키 관리를 사용하여 저장된 암호화를 활성화하려면 저장된 암호화 활성화를 참조하세요.
Atlas의 키 관리를 사용한 저장 데이터 암호화에 대해 자세히 알아보려면 고객 키 관리를 사용한 저장 데이터 암호화를 참조하세요.
MongoDB 미사용 데이터 암호화에 대한 자세한 내용은 MongoDB 서버 문서의 미사용 데이터 암호화를 참조하세요.
클라우드 백업을 사용한 미사용 데이터 암호화에 대해 자세히 알아보려면 스토리지 엔진 및 클라우드 백업 암호화를 참조하세요.