Docs Menu
Docs Home
/
MongoDB Atlas
/
백업, 복원 및 아카이브
/
암호화 (Encryption)

암호화된 스냅샷에 액세스

이 페이지의 내용

  • 고려 사항
  • 절차

고객 키 관리를 사용한 미사용 데이터 암호화를 사용 하는 경우 Atlas 는 스냅샷의 mongod 데이터 파일을 암호화합니다. 스냅샷 을 다운로드 하여 복원 하려는 경우, mongod 는 적절한 암호 해독 키를 제공할 수 있는 KMIP 서버 에 액세스 이 없으면 이러한 데이터 파일을 읽을 수 없습니다. KMIP 프록시 독립형을 액세스 하여 mongod 데이터 파일에 액세스할 수 있습니다. KMIP 프록시 독립형을 특정 운영 체제에 맞는 바이너리로 다운로드 합니다.

고려 사항

기본적으로 KMIP 프록시 독립형은 /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata 파일에 저장된 자격 증명을 사용합니다.

  • 키를 순환하는 경우 이러한 자격 증명은 최신 키 순환을 반영합니다.

  • KMIP 프록시 독립형 바이너리가 이러한 자격 증명을 사용하여 스냅샷을 해독할 수 없는 경우 바이너리는 이전 자격 증명이 포함된 디스크의 메타데이터 파일을 업데이트해야 한다는 오류 메시지를 표시합니다. 모든 텍스트 편집기를 사용하여 메타데이터 파일을 업데이트할 수 있습니다.

  • 암호화 키 에 대한 역할 기반 액세스 를 사용하는 경우 /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata 파일 에 유효한 자격 증명 이 포함되지 않습니다.

    다음 조치 중 하나를 수행합니다.

    • /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata 파일을 업데이트합니다. 빈 roleId 을(를) 사용하세요. accessKeyIdsecretAccessKey 필드의 암호화 키에 액세스할 수 있는 IAM 역할을 기반으로 임시 자격 증명을 제공합니다.

      {
        "accessKeyId": "TemporaryAccessKeyId",
        "secretAccessKey": "TemporarySecretAccessKey",
        "roleId": "",
        "region": "us-east-1"
      }

    • 다음 옵션을 사용하여 KMIP 프록시 독립형 바이너리를 시작합니다.

      • awsAccessKey

      • awsSecretAccessKey

      • awsSessionToken

      • awsRegion

    IAM 역할을 기반으로 임시 자격 증명을 생성하려면 Amazon Web Services 설명서를 참조하세요.

절차

1

AtlasGo Atlas 에서 프로젝트 의 Clusters 페이지로 고 (Go) 합니다.

  1. 아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 원하는 프로젝트가 포함된 조직을 선택합니다.

  2. 아직 표시되지 않은 경우 탐색 표시줄의 Projects 메뉴에서 원하는 프로젝트를 선택합니다.

  3. 아직 표시되지 않은 경우 사이드바에서 Clusters 클릭하세요.

    Clusters(클러스터) 페이지가 표시됩니다.

2

클러스터 의 페이지로 고 (Go)Backup 합니다.

  1. 클러스터 이름을 클릭합니다.

  2. Backup 탭을 클릭합니다.

    클러스터 에 Backup 탭 이 없으면 해당 클러스터 에 대해 Atlas 백업이 비활성화되며 스냅샷을 사용할 수 없습니다. 클러스터 를 확장하다할 때 백업을 활성화 할 수 있습니다.

    백업 페이지가 표시됩니다.

3

암호화된 스냅샷을 다운로드합니다.

  1. 아직 선택되지 않은 경우 Snapshots 탭 을 클릭합니다.

  2. Actions 열에서 Actions 메뉴를 펼치고 다운로드하려는 스냅샷의 Download를 클릭합니다.

    Atlas 가 스냅샷 을 준비합니다. 다운로드 할 준비가 되면 Atlas 는 4시간 후에 만료되는 일회성 다운로드 링크를 생성합니다. Atlas 에서 다운로드 링크를 이메일로 전송하고 Restores & Downloads 탭 에 표시합니다.

4

KMIP 프록시 독립형을 다운로드합니다.

Preparing Snapshot Download 모달에서 Download KMIP Proxy 을 클릭하고 운영 체제에 맞는 바이너리를 선택합니다.

다음 단계 중 하나를 수행하여 download KMIP Proxy Standalone 링크에 액세스 할 수도 있습니다.

  • Restores & Downloads 탭을 클릭합니다.

  • Atlas에서 프로젝트의 Advanced 페이지로 이동합니다.

    1. 아직 표시되지 않은 경우 탐색 표시줄의 Organizations 메뉴에서 프로젝트가 포함된 조직을 선택합니다.

    2. 아직 표시되지 않은 경우 내비게이션 바의 Projects 메뉴에서 프로젝트를 선택합니다.

    3. 사이드바에서 Security 제목 아래의 Advanced를 클릭합니다.

      고급 페이지가 표시됩니다.

    링크가 Encryption at Rest using your Key Management 섹션에 나타납니다.

5

KMIP 프록시 독립형을 시작합니다.

  1. 터미널 또는 명령 프롬프트 창 을 엽니다.

  2. 지정된 매개변수를 사용하여 다음 명령을 호출합니다.

    kmipProxyStandalone
      -awsAccessKey <accessKey> -awsSecretAccessKey <secretAccessKey> \
      -awsSessionToken <token> -awsRegion <region> -cloudProvider aws \
      -dbpath <dbpath> -kmipPort <kmipPort> -mongodPort <mongodPort>
    Parameter
    설명
    awsAccessKey

    고객 마스터 키에 액세스 있는 권한이 있는 IAM 액세스 키 ID 입니다.

    /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata 파일에 accessKeyId 을(를) 지정하지 않은 경우에만 필요합니다.

    awsSecretAccessKey

    고객 마스터 키에 액세스 있는 권한이 있는 IAM 시크릿 액세스 키입니다.

    /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata 파일 에 secretAccessKey 을(를) 지정하지 않은 경우에만 필수입니다.

    awsSessionToken
    임시 Amazon Web Services 보안 자격 증명 을 부여할 때 사용할 토큰입니다.
    awsRegion

    Amazon WebAmazon Web Services 고객 마스터 키가 존재하는 Amazon Web Services 리전 입니다.

    /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata 파일 에 region 을(를) 지정하지 않은 경우에만 필수입니다.

    cloudProvider
    cloud 서비스 제공자. 값은 aws 이어야 합니다.
    dbpath
    프록시를 생성하려는 mongod 데이터 디렉토리의 경로입니다.
    kmipPort
    KMIP 프록시를 실행 포트입니다.
    mongodPort
    mongod 을(를) 실행할 포트입니다.
    kmipProxyStandalone
      -cloudProvider <azure|gcp> -dbpath <dbpath> \
      -kmipPort <kmipPort> -mongodPort <mongodPort>
    Parameter
    설명
    cloudProvider
    cloud 서비스 제공자. 유효한 값은 azure 또는 gcp 입니다.
    dbpath
    프록시를 생성하려는 mongod 데이터 디렉토리의 경로입니다.
    kmipPort
    KMIP 프록시를 실행 포트입니다.
    mongodPort
    mongod 을(를) 실행할 포트입니다.

KMIP 프록시 독립형은 localhost 에 대한 KMIP 인증서를 생성하여 dbpath 에 씁니다.

6

프로세스 mongod 를 시작합니다.

지정된 매개변수를 사용하여 다음 명령을 호출합니다.

mongod --dbpath <dbpath> --port  <mongodPort> --enableEncryption --kmipPort <kmipPort> --kmipServerName 127.0.0.1 --kmipServerCAFile <dbpath>/kmipCA.pem --kmipActivateKeys false --kmipClientCertificateFile <dbpath>/kmipClient.pem
Parameter
설명
dbpath
mongod 가 데이터를 저장하는 디렉토리의 경로입니다.
port
mongod 가 클라이언트 연결을 수신하는 포트입니다.
kmipPort
KMIP 서버가 수신 대기하는 포트입니다.
kmipServerCAFile
KMIP 서버에 대한 보안 클라이언트 연결의 유효성을 검사하는 데 사용되는 CA 파일의 경로입니다.
kmipActivateKeys
MongoDB 서버5.2 이상의 경우, MongoDB 서버 의 키를 활성화 또는 비활성화할지 여부를 지정하는 플래그입니다. MongoDB 서버 를 시작할 때 이 매개변수의 값은 false 이어야 합니다.
kmipClientCertificateFile
KMIP 서버에 MongoDB를 인증하는 데 사용되는 클라이언트 인증서의 경로입니다.

mongod127.0.0.1 에 바인딩된 KMIP 서버 역할을 하며 지정된 kmipPort 에서 실행됩니다.

7

mongod 프로세스 에 연결합니다.

mongosh, MongoDB Compass 또는 mongodump 또는 mongorestore 와 같은 표준 유틸리티를 통해 mongod 에 연결하여 데이터 파일에 액세스합니다 .

미사용 데이터 암호화를 사용하여 스냅샷 을 복원 할 수도 있습니다.

돌아가기

암호화 (Encryption)

다음

미사용 데이터 암호화를 사용하여 복원

이 페이지의 내용