存储引擎和云备份加密
在此页面上
Atlas 使用云提供商的标准存储加密方法对所有快照进行加密,确保静态集群数据的安全。您的云提供商负责管理加密密钥。
如果您对项目和集群使用客户数密钥管理的 静态加密,则Atlas会使用KMS ( KMS )提供商对快照应用额外的加密层。
查看用于加密快照的密钥
对于使用客户数密钥管理进行静态加密的项目和集群, Atlas使用KMS ( KMS )提供商。
对于使用Amazon Web Services IAM作为KMS的集群, Atlas在创建快照时使用项目的客户主密钥 ( 集合扫描) 和Amazon Web Services IAM用户或角色凭证来自动加密快照数据文件。 这是在应用于所有Atlas存储和快照卷的现有加密基础上的额外加密层。 oplog为 PIT 恢复收集的 数据也使用客户的 集合扫描 进行加密。
Atlas存储ID 集合扫描 的唯一 以及用于访问权限 集合扫描Amazon Web Services 的 IAM 用户凭证或 角色 。Atlas在恢复快照时会使用此信息。 您可以访问权限加密快照并使用静态加密恢复快照。
对于使用Azure Key Vault作为KMS的集群, Atlas在创建快照时使用项目的密钥标识符、密钥保管库档案和 Active Directory应用程序帐户凭证来自动加密快照数据文件。 这是在应用于所有Atlas存储和快照卷的现有加密基础上的额外加密层。 oplog为 PIT 恢复收集的 数据也使用客户的 集合扫描 进行加密。
Atlas存储用于加密快照的Azure密钥标识符的唯一ID 。 Atlas还存储用于访问权限密钥标识符的Azure Key Vault凭证和 Active Domain应用程序帐户凭证。 Atlas在恢复快照时会使用此信息。 您可以访问权限加密快照并使用静态加密恢复快照。
Atlas使用Google Cloud Platform服务帐户密钥来加密和解密MongoDB主密钥。 这些MongoDB主密钥用于加密集群数据库文件和云提供商快照。 oplog为 PIT 恢复收集的 数据也使用客户的 集合扫描 进行加密。您可以访问权限加密快照并使用静态加密恢复快照。
步骤
要查看用于加密快照的密钥,请执行以下操作:
AtlasGoClusters在Atlas中,Go项目的 页面。
如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含所需项目的组织。
如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。
如果尚未出现,请单击侧边栏中的 Clusters(部署)。
会显示集群页面。
重要
Atlas 需要访问与快照的Encryption Key ID关联的加密密钥,才能成功恢复该快照。
在删除用于 Atlas 使用密钥管理进行静态加密的加密密钥 ID 之前,请检查项目中每个启用备份的集群是否有任何仍在使用该加密密钥 ID 的快照。删除加密密钥后,使用该密钥加密的所有快照将无法访问且无法恢复。
Atlas 会根据“安排,保留和按需快照”自动删除备份。一旦 Atlas 根据给定的加密密钥 ID 删除所有快照,您就可以安全地删除该密钥。
如果禁用加密密钥 ID,则必须先重新启用该密钥,才能恢复使用该密钥加密的快照。
有关为Atlas项目配置使用密钥管理进行静态加密的完整文档,请参阅使用KMS进行静态加密。 然后,您可以部署新集群,或使用密钥管理为现有集群启用静态加密。