自動フィールドレベル暗号化による読み取り/書込みをサポート

サポートされている読み取りコマンドと書込みコマンド

公式 MongoDB 4.2+ 互換ドライバーは、次のコマンドを使用したクライアント側フィールド レベルの自動暗号化をサポートします。

• aggregate

• count

• delete

• distinct

• explain

• find

• findAndModify

• insert

• update

サポートされている コマンドでは、コマンドがサポートされていない演算子、集計ステージ、または集計式を使用している場合、4.2 以降の互換性のあるドライバーはエラーを返します。

• サポートされているクエリ演算子

• サポートされている更新演算子

• サポートされている集計式

• サポートされている集計ステージ

次のコマンドには自動暗号化は必要ありません。 自動クライアント側フィールドレベル暗号化用に構成された公式の MongoDB 4.2 以降と互換性のあるドライバーは、これらのコマンドをmongodに直接渡します。

• getMore [1]

• authenticate

• getnonce

• hello

• logout

• abortTransaction

• commitTransaction

• endSessions

• startSession

• create

• createIndexes

• drop

• dropDatabase

• dropIndexes

• killCursors

• listCollections

• listDatabases

• listIndexes

• renameCollection

• ping

自動クライアント側フィールドレベル暗号化用に構成された 4.2 以降の互換性ドライバーを介して他のコマンドを発行すると、エラーが返されます。

サポートされているクエリ演算子

自動クライアント側フィールドレベル暗号化用に構成された公式の 4.2+ 互換ドライバーでは、確定的に暗号化されたフィールドに対して発行された場合、次のクエリ演算子を使用できます。

• $eq

• $ne

• $in

• $nin

• $and

• $or

• $not

• $nor

暗号化されたフィールドをnullまたは正規表現と比較するクエリでは、サポートされているクエリ演算子を使用している場合でも、常にエラーがスローされます。 無作為に暗号化されたフィールドに対してこれらの演算子を発行するクエリは、エラーをスローします。

$exists演算子は、確定的に暗号化されたフィールドとランダムに暗号化されたフィールドの両方に対して発行された場合、通常の動作をします。

暗号化されたフィールドに対して他のクエリ演算子を指定するクエリでは、エラーが返されます。

次のクエリ演算子は、暗号化されたフィールドに対して発行されない場合でも、エラーをスローします。

• $text

• $where

• $jsonSchema

サポートされている更新演算子

自動クライアント側フィールドレベル暗号化用に構成された公式の 4.2+ 互換ドライバーでは、確定的に暗号化されたフィールドに対して発行された場合、次の更新演算子が可能になります。

• $set

• $unset

• $rename

暗号化されたフィールドで$rename演算子を使用する更新操作では、自動JSON schemaがソース フィールド名とターゲット フィールド名に対して同じ暗号化メタデータを指定していることを確認します。

暗号化されたフィールドに対して他の更新演算子を指定した更新は、エラーを返します。

次の動作を持つ更新操作では、サポートされている演算子を使用している場合でも、エラーがスローされます。

• 更新操作により、暗号化された パス内に配列が生成されます。

• 更新操作では、 集計式の構文を使用します。

確定 的に暗号化されたフィールドに クエリフィルター を指定するアップデート操作の場合、クエリフィルターはそれらのフィールドで サポートされている演算子 のみを使用する必要があります。

サポートされていない挿入操作

自動クライアント側フィールドレベル暗号化用に構成された公式の MongoDB 4.2 以降と互換性のあるドライバーは、次の動作を持つ挿入コマンドをサポートしていません。

• 暗号化されたフィールドに関連付けられたTimestamp(0,0)を持つドキュメントを挿入します。 (0,0)の値は、 mongodがタイムスタンプを生成する必要があることを示します。 mongodは暗号化されたフィールドを生成できないため、結果のタイムスタンプは暗号化されません。

• 構成された自動スキーマで暗号化された_idフィールドが指定されている場合は、暗号化された_idなしでドキュメントを挿入します。 mongodは暗号化されていないObjectIdを自動生成するため、ドキュメントから_idを省略すると、自動暗号化ルールに準拠しないドキュメントが生成されます。

• 決定的に暗号化されたフィールドに関連付けられた配列を持つドキュメントを挿入します。 クライアント側のフィールドレベルの自動暗号化では、配列の決定的な暗号化はサポートされていません。

サポートされている集計ステージ

自動クライアント側フィールドレベル暗号化用に構成された公式の MongoDB 4.2+ 互換ドライバーは、次の集計パイプライン ステージをサポートします。

• $limit

• $match

• $group （使用要件については、「 $groupの動作」を参照してください。）

• $sample

• $skip

• $sort

• $project

• $addFields

• $geoNear

• $collStats

• $indexStats

• $bucket

• $bucketAuto

• $unwind

• $sortByCount

• $count

• $replaceRoot

• $redact

• $lookupと$graphLookup （使用要件 については、「 $lookupと$graphLookupの動作」を参照してください）

他のステージを指定する自動暗号化用に構成されたコレクションで動作する集計パイプラインでは、 エラーが返されます。

サポートされている各パイプライン ステージごとに、MongoDB はサポートされているパイプラインを通過するときに暗号化する必要があるフィールドを追跡し、それらを暗号化対象としてマークします。

サポートされている各ステージでは、サポートされているクエリ演算子と集計式 のみを指定する必要があります。

$addFields : {
  "valueWithUnknownEncryption" : {
    $cond : {
      if : { "$encryptedField" : "value" },
      then : "$encryptedField",
      else: "unencryptedValue"
    }
  }
},
{
  $match : {
    "valueWithUnknownEncryption" : "someNewValue"
  }
}

{
  $eq : [
    {"newField" : "$encryptedField"},
    {"newField" : "value"
  ]
}

{ $eq : [ "$prefixOfEncryptedField" , "value"] }

{
  $eq : [
      "$encryptedField" ,
      { $ne : [ "field", "value" ] }
  ]
}

{
  $let: {
    "vars" : {
      "newVariable" : "$encryptedField"
    }
  }
}

{
  $in : [
    "$encryptedField" ,
    "$otherEncryptedField"
  ]
}

サポートされていないフィールド型

自動クライアント側フィールドレベル暗号化用に構成された公式の MongoDB 4.2 以降と互換性のあるドライバーは、次の値の型の暗号化を必要とする読み取りまたは書込み操作をサポートしていません。

• MaxKey

• MinKey

• null

• undefined

暗号化では、これらの値の型情報が十分に非表示にされません。

また、自動フィールドレベル暗号化では、暗号化されたフィールドが次の値の型と比較される 決定的な フィールドに対する読み取りまたは書込み操作 も サポートされていません。

• double

• decimal128

• bool

• object