Menu Docs
Página inicial do Docs
/
MongoDB Atlas
/
Backup, restaure e arquive
/
Criptografia

Acessar um snapshot criptografado

Nesta página

  • Considerações
  • Procedimento

Quando você usa o Encryption at Rest usando o Gerenciamento de chaves do cliente, o Atlas criptografa os arquivos de dados mongod em seus snapshots. Se você deseja baixar e restaurar um snapshot, o mongod não poderá ler esses arquivos de dados a menos que tenha acesso a um servidorKMIP do que pode fornecer a chave de descriptografia apropriada. Você pode usar o KMIP Proxy Standalone para acessar os arquivos de dados do mongod . Você baixa o KMIP Proxy Standalone como binário para seu sistema operacional específico.

Considerações

Por padrão, o KMIP Proxy Standalone utiliza as credenciais armazenadas no arquivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata .

  • Se você girar chaves, essas credenciais refletirão a rotação de chaves mais recente.

  • Se o binário KMIP Proxy Standalone não conseguir descriptografar os snapshots usando essas credenciais, o binário mostrará uma mensagem de erro informando que você deve atualizar os arquivos de metadados no disco que contêm as credenciais antigas. Você pode atualizar o arquivo de metadados com qualquer editor de texto.

  • Se você usar o acesso baseado em função para sua chave de criptografia, o arquivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata não conterá credenciais válidas.

    Realize uma das seguintes ações:

    • Atualize o arquivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata . Use um roleId vazio. Forneça credenciais temporárias com base no role do IAM que podem acessar sua chave de encriptação nos campos accessKeyId e secretAccessKey :

      {
        "accessKeyId": "TemporaryAccessKeyId",
        "secretAccessKey": "TemporarySecretAccessKey",
        "roleId": "",
        "region": "us-east-1"
      }

    • Inicie o binário KMIP Proxy Standalone com as seguintes opções:

      • awsAccessKey

      • awsSecretAccessKey

      • awsSessionToken

      • awsRegion

    Para gerar credenciais temporárias com base em uma função do IAM , consulte a documentação do Amazon Web Services.

Procedimento

1

No Atlas, VáGo para a Clusters página do seu projeto.

  1. Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.

  3. Se ainda não estiver exibido, clique em Clusters na barra lateral.

    A página Clusters é exibida.

2

Go Acesse a Backup página do seu cluster.

  1. Clique no nome do seu cluster.

  2. Clique na aba Backup.

    Se o cluster não tiver a guia Backup , os backups do Atlas serão desabilitados para este cluster e nenhum snapshot estará disponível. Você pode habilitar backups ao escalar o cluster.

    A página Backup é exibida.

3

Baixe o snapshot criptografado.

  1. Se ainda não estiver selecionado, clique na aba Snapshots .

  2. Na coluna Actions, expanda o menu Actions e clique em Download para o snapshot que você deseja baixar.

    O Atlas prepara o snapshot. Quando está pronto para download, o Atlas gera um link de download de uso único que expira após quatro horas. O Atlas envia um e-mail para você com o link de download e o exibe na aba Restores & Downloads .

4

Faça o download do KMIP Proxy Standalone.

No modal Preparing Snapshot Download , clique em Download KMIP Proxy e selecione o binário para seu sistema operacional.

Dica

Você também pode seguir uma das seguintes etapas para acessar o link download KMIP Proxy Standalone :

  • Clique na aba Restores & Downloads.

  • No Atlas, acesse a página Advanced do seu projeto.

    1. Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.

    2. Se ainda não estiver exibido, selecione seu projeto no menu Projects na barra de navegação.

    3. Na barra lateral, clique em Advanced sob o título Security.

      A página Avançado é exibida.

    O link aparece na seção Encryption at Rest using your Key Management .

5

Inicie o KMIP Proxy Standalone.

  1. Abra uma janela de prompt de terminal ou comando.

  2. Invoque o seguinte comando com os parâmetros especificados:

    kmipProxyStandalone
      -awsAccessKey <accessKey> -awsSecretAccessKey <secretAccessKey> \
      -awsSessionToken <token> -awsRegion <region> -cloudProvider aws \
      -dbpath <dbpath> -kmipPort <kmipPort> -mongodPort <mongodPort>
    Parâmetro
    Descrição
    awsAccessKey

    ID da chave de acesso IAM com permissões para acessar a chave mestre do cliente .

    Necessário somente se você não especificou um accessKeyId no arquivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata .

    awsSecretAccessKey

    Chave de acesso secreta IAM com permissões para acessar a chave mestre do cliente .

    Necessário somente se você não especificou um secretAccessKey no arquivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata .

    awsSessionToken
    Token a ser usado ao conceder credenciais de segurança temporárias Amazon Web Services .
    awsRegion

    Região do Amazon Web Services na qual a chave mestra do cliente do Amazon Web Services existe.

    Necessário somente se você não especificou um region no arquivo /<dbPath>/cloudProviderCredentials/<keyID>.<cloudProvider>.metadata .

    cloudProvider
    Seu provedor de serviços de nuvem. O valor deve ser aws.
    dbpath
    Caminho para o diretório de dados mongod para o qual você deseja criar um proxy.
    kmipPort
    Porta na qual executar o proxy KMIP .
    mongodPort
    Porta na qual executar o mongod.
    kmipProxyStandalone
      -cloudProvider <azure|gcp> -dbpath <dbpath> \
      -kmipPort <kmipPort> -mongodPort <mongodPort>
    Parâmetro
    Descrição
    cloudProvider
    Seu provedor de serviços de nuvem. Os valores válidos são azure ou gcp.
    dbpath
    Caminho para o diretório de dados mongod para o qual você deseja criar um proxy.
    kmipPort
    Porta na qual executar o proxy KMIP .
    mongodPort
    Porta na qual executar o mongod.

O KMIP Proxy Standalone gera um certificado KMIP para localhost e o grava no dbpath.

6

Inicie um mongod processo.

Invoque o seguinte comando com os parâmetros especificados:

mongod --dbpath <dbpath> --port  <mongodPort> --enableEncryption --kmipPort <kmipPort> --kmipServerName 127.0.0.1 --kmipServerCAFile <dbpath>/kmipCA.pem --kmipActivateKeys false --kmipClientCertificateFile <dbpath>/kmipClient.pem
Parâmetro
Descrição
dbpath
Caminho para o diretório onde o mongod armazena seus dados.
port
Porta na qual mongod escuta conexões de cliente.
kmipPort
Porta na qual o servidor KMIP escuta.
kmipServerCAFile
Caminho para o arquivo CA usado para validar a conexão segura do cliente com o servidor KMIP .
kmipActivateKeys
Para o servidor MongoDB v5.2 ou posterior, sinalizador que especifica se deseja ativar ou desativar as chaves do servidor MongoDB . O valor deste parâmetro deve ser false quando você iniciar o servidor MongoDB .
kmipClientCertificateFile
Caminho para o certificado do cliente usado para autenticar o MongoDB no servidor KMIP .

O mongod atua como um servidor KMIP vinculado a 127.0.0.1 e é executado no kmipPort especificado.

7

Conecte ao mongod processo.

Acesse seus arquivos de dados conectando-se ao mongod por meio do mongosh, MongoDB Compass ou por meio de utilitários padrão, como mongodump ou mongorestore.

Você também pode restaurar um snapshot usando o Encryption at Rest.

Voltar

Criptografia

Próximo

Restaurar usando criptografia em repouso