문서 메뉴
문서 홈
/
MongoDB 아틀라스
/
백업, 복원 및 아카이브
/
암호화 (Encryption)

암호화된 스냅샷에 액세스

이 페이지의 내용

  • 고려 사항
  • 절차

고객 키 관리를 사용한 미사용 데이터 암호화를 사용 하는 경우 Atlas는 스냅샷의 mongod 데이터 파일을 암호화합니다. 스냅샷을 다운로드하여 복원하려는 경우, mongod 는 적절한 암호 해독 키를 제공할 수 있는 KMIP 서버에 액세스할 수 없는 경우 이러한 데이터 파일을 읽을 수 없습니다. KMIP 프록시 독립형을 사용하여 mongod 데이터 파일에 액세스할 수 있습니다. KMIP 프록시 독립형을 특정 운영 체제에 맞는 바이너리로 다운로드합니다.

고려 사항

기본적으로 KMIP 프록시 독립형은 /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata 파일에 저장된 자격 증명을 사용합니다.

  • 키를 순환하는 경우 이러한 자격 증명은 최신 키 순환을 반영합니다.

  • KMIP 프록시 독립형 바이너리가 이러한 자격 증명을 사용하여 스냅샷을 해독할 수 없는 경우 바이너리는 이전 자격 증명이 포함된 디스크의 메타데이터 파일을 업데이트해야 한다는 오류 메시지를 표시합니다. 모든 텍스트 편집기를 사용하여 메타데이터 파일을 업데이트할 수 있습니다.

  • 암호화 키에 역할 기반 액세스를 사용하는 경우 /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata 파일에는 유효한 자격 증명이 포함되지 않습니다.

    다음 조치 중 하나를 수행합니다.

    • /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata 파일을 업데이트합니다. 빈 roleId 을(를) 사용하세요. accessKeyIdsecretAccessKey 필드의 암호화 키에 액세스할 수 있는 IAM 역할을 기반으로 임시 자격 증명을 제공합니다.

      {
        "accessKeyId": "TemporaryAccessKeyId",
        "secretAccessKey": "TemporarySecretAccessKey",
        "roleId": "",
        "region": "us-east-1"
      }

    • 다음 옵션을 사용하여 KMIP 프록시 독립형 바이너리를 시작합니다.

      • awsAccessKey

      • awsSecretAccessKey

      • awsSessionToken

      • awsRegion

    IAM 역할을 기반으로 임시 자격 증명을 생성하려면 Amazon Web Services 설명서를 참조하세요.

절차

1

Atlas에서 Clusters 프로젝트의 페이지로 이동합니다.

  1. 아직 표시되지 않은 경우 다음 목록에서 원하는 프로젝트가 포함된 조직을 선택합니다. 탐색 표시줄의 Organizations 메뉴.

  2. 아직 표시되지 않은 경우 탐색 표시줄의 Projects 메뉴에서 원하는 프로젝트를 선택합니다.

  3. Clusters 페이지가 아직 표시되지 않은 경우 사이드바에서 Database를 클릭합니다.

    클러스터 페이지가 표시됩니다.

2

Backup 클러스터의 페이지로 이동합니다.

  1. 클러스터 이름을 클릭합니다.

  2. Backup 탭을 클릭합니다.

    클러스터에 Backup 탭이 없는 경우 해당 클러스터에 대해 Atlas 백업이 비활성화되어 있으며 스냅샷을 사용할 수 없습니다. 클러스터를 확장할 때 백업을 활성화할 수 있습니다.

    백업 페이지가 표시됩니다.

3

암호화된 스냅샷을 다운로드합니다.

  1. 아직 선택되지 않은 경우 Snapshots 탭을 클릭합니다.

  2. Actions 열에서 Actions 메뉴를 펼치고 다운로드하려는 스냅샷의 Download를 클릭합니다.

    Atlas에서 스냅샷을 준비합니다. 다운로드할 준비가 되면 Atlas에서 4시간 후에 만료되는 일회성 다운로드 링크를 생성합니다. Atlas에서 다운로드 링크를 이메일로 보내고 Restores & Downloads 탭에 표시합니다.

4

KMIP 프록시 독립형을 다운로드합니다.

Preparing Snapshot Download 모달에서 Download KMIP Proxy 을 클릭하고 운영 체제에 맞는 바이너리를 선택합니다.

다음 단계 중 하나를 수행하여 download KMIP Proxy Standalone 링크에 액세스할 수도 있습니다.

  • Restores & Downloads 탭을 클릭합니다.

  • Atlas에서 프로젝트의 Advanced 페이지로 이동합니다.

    1. 아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.

    2. 아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.

    3. 사이드바에서 Security 제목 아래의 Advanced 을 클릭합니다.

      고급 페이지가 표시됩니다.

    링크가 Encryption at Rest using your Key Management 섹션에 나타납니다.

5

KMIP 프록시 독립형을 시작합니다.

  1. 터미널 또는 명령 프롬프트 창을 엽니다.

  2. 지정된 매개변수를 사용하여 다음 명령을 호출합니다.

    kmipProxyStandalone
      -awsAccessKey <accessKey> -awsSecretAccessKey <secretAccessKey> \
      -awsSessionToken <token> -awsRegion <region> -cloudProvider aws \
      -dbpath <dbpath> -kmipPort <kmipPort> -mongodPort <mongodPort>
    매개 변수
    설명
    awsAccessKey

    고객 마스터 키에 액세스할 수 있는 권한이 있는 IAM 액세스 키 ID입니다.

    /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata 파일에 accessKeyId 을(를) 지정하지 않은 경우에만 필요합니다.

    awsSecretAccessKey

    고객 마스터 키에 액세스할 수 있는 권한이 있는 IAM 시크릿 액세스 키입니다.

    /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata 파일에 secretAccessKey 을(를) 지정하지 않은 경우에만 필요합니다.

    awsSessionToken
    임시 AWS 보안 자격 증명을 부여할 때 사용할 토큰입니다.
    awsRegion

    AWS 고객 마스터 키가 있는 AWS 리전입니다.

    /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata 파일에 region 을(를) 지정하지 않은 경우에만 필요합니다.

    cloudProvider
    클라우드 서비스 제공자. 값은 aws 이어야 합니다.
    dbpath
    프록시를 생성하려는 mongod 데이터 디렉토리의 경로입니다.
    kmipPort
    KMIP 프록시를 실행할 포트입니다.
    mongodPort
    mongod 을(를) 실행할 포트입니다.
    kmipProxyStandalone
      -cloudProvider <azure|gcp> -dbpath <dbpath> \
      -kmipPort <kmipPort> -mongodPort <mongodPort>
    매개 변수
    설명
    cloudProvider
    클라우드 서비스 제공자. 유효한 값은 azure 또는 gcp 입니다.
    dbpath
    프록시를 생성하려는 mongod 데이터 디렉토리의 경로입니다.
    kmipPort
    KMIP 프록시를 실행할 포트입니다.
    mongodPort
    mongod 을(를) 실행할 포트입니다.

KMIP 프록시 독립형은 localhost 에 대한 KMIP 인증서를 생성하여 dbpath 에 씁니다.

6

프로세스를 mongod 시작합니다.

지정된 매개변수를 사용하여 다음 명령을 호출합니다.

mongod --dbpath <dbpath> --port  <mongodPort> --enableEncryption --kmipPort <kmipPort> --kmipServerName 127.0.0.1 --kmipServerCAFile <dbpath>/kmipCA.pem --kmipActivateKeys false --kmipClientCertificateFile <dbpath>/kmipClient.pem
매개 변수
설명
dbpath
mongod 가 데이터를 저장하는 디렉토리의 경로입니다.
port
mongod 가 클라이언트 연결을 수신하는 포트입니다.
kmipPort
KMIP 서버가 수신 대기하는 포트입니다.
kmipServerCAFile
KMIP 서버에 대한 보안 클라이언트 연결의 유효성을 검사하는 데 사용되는 CA 파일의 경로입니다.
kmipActivateKeys
MongoDB 서버 v5 의 경우.2 이상, MongoDB 서버의 키를 활성화 또는 비활성화할지 여부를 지정하는 플래그입니다. MongoDB 서버를 시작할 때 이 매개변수의 값은 false 이어야 합니다.
kmipClientCertificateFile
KMIP 서버에 MongoDB를 인증하는 데 사용되는 클라이언트 인증서의 경로입니다.

mongod127.0.0.1 에 바인딩된 KMIP 서버 역할을 하며 지정된 kmipPort 에서 실행됩니다.

7

mongod 프로세스에 연결합니다.

mongosh, MongoDB Compass 또는 mongodump 또는 mongorestore 와 같은 표준 유틸리티를 통해 mongod 에 연결하여 데이터 파일에 액세스합니다 .

미사용 데이터 암호화를 사용하여 스냅샷을 복원할 수도 있습니다.

돌아가기

암호화 (Encryption)

이 페이지의 내용