CSFLE 暗号化コンポーネント
図
次の図は、MongoDB ドライバーまたは mongosh
とクライアント側フィールドレベル暗号化(CSFLE)の各コンポーネントとの関係を示しています。
コンポーネント
次のセクションでは、前の図の個々のコンポーネントについて説明します。
libmongocrypt
libmongocrypt
は、 Apache ライセンスのオープンソース です 公式 MongoDB ドライバーとmongosh
で使用されるコア暗号ライブラリは、クライアント側のフィールドレベル暗号化を強化します。一部のドライバーでは、ライブラリをインストールまたはリンクするために特定の統合手順が必要になる場合があります。
libmongocrypt
をインストールする手順については、 libmongocrypt参照ページを参照してください。
mongocryptd
mongocryptd
は自動暗号化をサポートしており、MongoDB Enterprise でのみ利用可能です。 mongocryptd
は暗号化機能を実行しません。
mongocryptd
の詳細については、「 CSFLE ライブラリのインストールと構成 」を参照してください。
キーヴォールトコレクション
Key Vault コレクションは、アプリケーション データの暗号化に使用されるすべての データ暗号化キー を保存する MongoDB の標準コレクションです。 データ暗号化キーは、キーヴォールトコレクションに保存する前に、カスタマー マスター キー( CMK )を使用してキー自体を暗号化します。 暗号化されたアプリケーション データを保存しているクラスターとは別の MongoDB クラスターで Key Vault コレクションをホストできます。
Key Vault コレクションの詳細については、「暗号化のキーとキー Vault 」を参照してください。
キー管理システム
キー管理システム( KMS )には、データ暗号化キーの暗号化に使用される CMK ( CMK )が保存されています。
MongoDB がサポートするすべてのKMSプロバイダーのリストを表示するには、「 KMS プロバイダー 」を参照してください。
MongoDB クラスター
暗号化されたデータを保存する MongoDB クラスターは、 クライアント側のフィールドレベル暗号化 も強制する場合があります。 サーバー側でのスキーマ適用の詳細については、「 CSFLE によるサーバー側スキーマ強制 」を参照してください。