KMIP による自動 Queryable Encryption の使用

項目一覧

Overview

始める前に
KMS を設定する
KMIP 準拠のキープロバイダーを設定する
証明書を指定する
アプリケーションを作成する
アプリケーション変数を割り当てる
暗号化されたコレクションの作成
暗号化されたフィールドを含むドキュメントの挿入
暗号化されたフィールドに対するクエリ
詳細

Overview

このガイドでは、MongoDB Queryable Encryption 機能を実装するアプリケーションを構築して、ドキュメントフィールドを自動的に暗号化および復号化し、KMIP（Key Management Interoperability Protocol）準拠のキープロバイダーをキー管理に使用する方法について説明します。

このガイドの手順を完了すると、次のものが作成されます。

KMIP準拠のキープロバイダーによって管理されるカスタマーマスターキー
カスタマーマスターキーを使用して暗号化されたフィールドを持つドキュメントを挿入する動作するクライアントアプリケーション

Tip

CMK（カスタマーマスターキー）

カスタマーマスターキーの詳細については、キーとキーヴォールトのドキュメントをお読みください。

始める前に

このガイドのコードを完了して実行するには、インストール要件ページに示されているように開発環境を設定する必要があります。

Tip

詳細: フルアプリケーション

このサンプルアプリケーションの完全なコードを確認するには、プログラミング言語に対応するタブを選択し、表示されたリンクに従ってください。各サンプルアプリケーションリポジトリには README.mdファイルが含まれており、環境を設定しアプリケーションを実行する方法を学習できます。

KMS を設定する

KMIP 準拠のキープロバイダーを設定する

MongoDB ドライバークライアントをKMIP準拠のキープロバイダーに接続するには、クライアントの TLS 証明書を受け入れるようにKMIP準拠のキープロバイダーを構成する必要があります。

クライアント証明書を受け入れる方法については、 KMIP準拠のキープロバイダーのドキュメントを参照してください。

証明書を指定する

クライアントは TLS 経由で KMIP 準拠のキープロバイダーに接続し、 KMIP準拠のキープロバイダーが受け入れるクライアント証明書を提示する必要があります。

const tlsOptions = {
  kmip: {
    tlsCAFile: process.env["KMIP_TLS_CA_FILE"], // Path to your TLS CA file
    tlsCertificateKeyFile: process.env["KMIP_TLS_CERT_FILE"], // Path to your TLS certificate key file
  },
};

var tlsOptions = new Dictionary<string, SslSettings>();
var sslSettings = new SslSettings();
var clientCertificate = new X509Certificate2(_appSettings["Kmip:TlsCertP12"]!); // Full path to your client certificate p12 file
sslSettings.ClientCertificates = new[] { clientCertificate };
tlsOptions.Add("kmip", sslSettings);

重要

クライアント証明書は pcks 12形式である必要があります。 OpenSSL を使用して証明書を変換できます次のコマンドを使用します。

openssl pcks12 -export -out "<new pcks12 certificate>" -in "<certificate to convert>" \
-name "<new certificate name>" -password "<new certificate password>"

tlsOpts := map[string]interface{}{
	"tlsCertificateKeyFile": os.Getenv("KMIP_TLS_CERT_ECDSA_FILE"), // Path to your client certificate file
	"tlsCAFile":             os.Getenv("KMIP_TLS_CA_ECDSA_FILE"),   // Path to your KMIP certificate authority file
}
kmipConfig, err := options.BuildTLSConfig(tlsOpts)
if err != nil {
	panic(fmt.Sprintf("Unable to retrieve certificates from your environment: %s\n", err))
}
tlsConfig := map[string]*tls.Config{
	"kmip": kmipConfig,
}

重要

ECDSA キーを持つ証明書を使用する必要があります Go ドライバーを PyKMIP で使用する場合

次の仮想マシンオプションを設定して、KMIP TLS 証明書を含むキーストアとトラストストアを指定し、Java アプリケーションの起動に使用するコマンドに追加します。

-Djavax.net.ssl.enabled=true
-Djavax.net.ssl.keyStoreType=pkcs12
-Djavax.net.ssl.keyStore=REPLACE-WITH-PATH-TO-PKC-KEYSTORE
-Djavax.net.ssl.keyStorePassword=REPLACE-WITH-KEYSTORE-PASSWORD
-Djavax.net.ssl.trustStoreType=jks
-Djavax.net.ssl.trustStore=REPLACE-WITH-PATH-TO-TRUSTSTORE
-Djavax.net.ssl.trustStorePassword=REPLACE-WITH-TRUSTSTORE-PASSWORD

注意

SSLContext を使用したクライアントの構成

SSL コンテキストを使用してクライアントアプリケーションを構成する場合は、 kmsProviderSslContextMap を使用します使用して複数のドキュメントを挿入できます。

const tlsOptions = {
  kmip: {
    tlsCAFile: process.env.KMIP_TLS_CA_FILE, // Path to your TLS CA file
    tlsCertificateKeyFile: process.env.KMIP_TLS_CERT_FILE, // Path to your TLS certificate key file
  },
};

tls_options = {
    "kmip": {
        "tlsCAFile": os.environ['KMIP_TLS_CA_FILE'], # Path to your TLS CA file
        "tlsCertificateKeyFile": os.environ['KMIP_TLS_CERT_FILE'] # Path to your TLS certificate key file
    }
}

アプリケーションを作成する

アプリケーション変数を割り当てる

このチュートリアルのコードサンプルでは、次の変数を使用して Queryable Encryption ワークフローを実行します。

kmsProviderName - CMK の保存に使用している KMS。このチュートリアルでは、この変数を"kmip"に設定します。
uri - MongoDB 配置接続 URI。 MONGODB_URI環境変数で接続 URI を設定するか、値を直接置き換えます。
keyVaultDatabaseName - データ暗号化キー（DEK）が保存される MongoDB のデータベース。この変数を"encryption"に設定します。
keyVaultCollectionName - DEK が保存される MongoDB のコレクション。この変数を"__keyVault"に設定します。
keyVaultNamespace - DEK が保存される MongoDB の名前空間。この変数に、ピリオドで区切られたkeyVaultDatabaseName変数とkeyVaultCollectionName変数の値を設定します。
encryptionDatabaseName -暗号化されたデータが保存される MongoDB のデータベース。この変数を"medicalRecords"に設定します。
encryptedCollectionName - 暗号化されたデータが保存される MongoDB のコレクション。この変数を"patients"に設定します。

次のコードを使用して、これらの変数を宣言できます。

// KMS provider name should be one of the following: "aws", "gcp", "azure", "kmip" or "local"
const kmsProviderName = "<Your KMS Provider Name>";
const uri = process.env.MONGODB_URI; // Your connection URI
const keyVaultDatabaseName = "encryption";
const keyVaultCollectionName = "__keyVault";
const keyVaultNamespace = `${keyVaultDatabaseName}.${keyVaultCollectionName}`;
const encryptedDatabaseName = "medicalRecords";
const encryptedCollectionName = "patients";

kmsProviderName - CMK の保存に使用している KMS。このチュートリアルでは、この値を"kmip"に設定します。
keyVaultDatabaseName - データ暗号化キー（DEK）が保存される MongoDB のデータベース。の値をkeyVaultDatabaseName "encryption"に設定します。
keyVaultCollectionName - DEK が保存される MongoDB のコレクション。の値をkeyVaultCollectionName "__keyVault"に設定します。
keyVaultNamespace - DEK が保存される MongoDB の名前空間。新しいkeyVaultNamespace CollectionNamespaceオブジェクトにkeyVaultDatabaseName keyVaultCollectionNameを設定します。このオブジェクトは、変数と変数の値をピリオドで区切った値です。
encryptionDatabaseName -暗号化されたデータが保存される MongoDB のデータベース。の値をencryptedDatabaseName "medicalRecords"に設定します。
encryptedCollectionName - 暗号化されたデータが保存される MongoDB のコレクション。の値をencryptedCollectionName "patients"に設定します。
uri - MongoDB 配置接続 URI。 appsettings.jsonファイルで接続 URI を設定するか、値を直接置き換えます。

次のコードを使用して、これらの変数を宣言できます。

// KMS provider name should be one of the following: "aws", "gcp", "azure", "kmip" or "local"
const string kmsProviderName = "<your KMS provider name>";
const string keyVaultDatabaseName = "encryption";
const string keyVaultCollectionName = "__keyVault";
var keyVaultNamespace =
    CollectionNamespace.FromFullName($"{keyVaultDatabaseName}.{keyVaultCollectionName}");
const string encryptedDatabaseName = "medicalRecords";
const string encryptedCollectionName = "patients";
var appSettings = new ConfigurationBuilder().AddJsonFile("appsettings.json").Build();
var uri = appSettings["MongoDbUri"];

kmsProviderName - CMK の保存に使用している KMS。このチュートリアルでは、この変数を"kmip"に設定します。
uri - MongoDB 配置接続 URI。 MONGODB_URI環境変数で接続 URI を設定するか、値を直接置き換えます。
keyVaultDatabaseName - データ暗号化キー（DEK）が保存される MongoDB のデータベース。この変数を"encryption"に設定します。
keyVaultCollectionName - DEK が保存される MongoDB のコレクション。この変数を"__keyVault"に設定します。
keyVaultNamespace - DEK が保存される MongoDB の名前空間。この変数に、ピリオドで区切られたkeyVaultDatabaseName変数とkeyVaultCollectionName変数の値を設定します。
encryptionDatabaseName -暗号化されたデータが保存される MongoDB のデータベース。この変数を"medicalRecords"に設定します。
encryptedCollectionName - 暗号化されたデータが保存される MongoDB のコレクション。この変数を"patients"に設定します。

次のコードを使用して、これらの変数を宣言できます。

// KMS provider name should be one of the following: "aws", "gcp", "azure", "kmip" or "local"
kmsProviderName := "<KMS provider name>"
uri := os.Getenv("MONGODB_URI") // Your connection URI
keyVaultDatabaseName := "encryption"
keyVaultCollectionName := "__keyVault"
keyVaultNamespace := keyVaultDatabaseName + "." + keyVaultCollectionName
encryptedDatabaseName := "medicalRecords"
encryptedCollectionName := "patients"

kmsProviderName - CMK の保存に使用している KMS。このチュートリアルでは、この変数を"kmip"に設定します。
uri - MongoDB 配置接続 URI。 MONGODB_URI環境変数で接続 URI を設定するか、値を直接置き換えます。
keyVaultDatabaseName - データ暗号化キー（DEK）が保存される MongoDB のデータベース。この変数を"encryption"に設定します。
keyVaultCollectionName - DEK が保存される MongoDB のコレクション。この変数を"__keyVault"に設定します。
keyVaultNamespace - DEK が保存される MongoDB の名前空間。この変数に、ピリオドで区切られたkeyVaultDatabaseName変数とkeyVaultCollectionName変数の値を設定します。
encryptionDatabaseName -暗号化されたデータが保存される MongoDB のデータベース。この変数を"medicalRecords"に設定します。
encryptedCollectionName - 暗号化されたデータが保存される MongoDB のコレクション。この変数を"patients"に設定します。

次のコードを使用して、これらの変数を宣言できます。

// KMS provider name should be one of the following: "aws", "gcp", "azure", "kmip" or "local"
String kmsProviderName = "<KMS provider name>";
String uri = QueryableEncryptionHelpers.getEnv("MONGODB_URI"); // Your connection URI
String keyVaultDatabaseName = "encryption";
String keyVaultCollectionName = "__keyVault";
String keyVaultNamespace = keyVaultDatabaseName + "." + keyVaultCollectionName;
String encryptedDatabaseName = "medicalRecords";
String encryptedCollectionName = "patients";

kmsProviderName - CMK の保存に使用している KMS。このチュートリアルでは、この変数を"kmip"に設定します。
uri - MongoDB 配置接続 URI。 MONGODB_URI環境変数で接続 URI を設定するか、値を直接置き換えます。
keyVaultDatabaseName - データ暗号化キー（DEK）が保存される MongoDB のデータベース。この変数を"encryption"に設定します。
keyVaultCollectionName - DEK が保存される MongoDB のコレクション。この変数を"__keyVault"に設定します。
keyVaultNamespace - DEK が保存される MongoDB の名前空間。この変数に、ピリオドで区切られたkeyVaultDatabaseName変数とkeyVaultCollectionName変数の値を設定します。
encryptionDatabaseName -暗号化されたデータが保存される MongoDB のデータベース。この変数を"medicalRecords"に設定します。
encryptedCollectionName - 暗号化されたデータが保存される MongoDB のコレクション。この変数を"patients"に設定します。

次のコードを使用して、これらの変数を宣言できます。

// KMS provider name should be one of the following: "aws", "gcp", "azure", "kmip" or "local"
const kmsProviderName = "<Your KMS Provider Name>";
const uri = process.env.MONGODB_URI; // Your connection URI
const keyVaultDatabaseName = "encryption";
const keyVaultCollectionName = "__keyVault";
const keyVaultNamespace = `${keyVaultDatabaseName}.${keyVaultCollectionName}`;
const encryptedDatabaseName = "medicalRecords";
const encryptedCollectionName = "patients";

kms_provider_name - CMK の保存に使用している KMS。このチュートリアルでは、この変数を"kmip"に設定します。
uri - MongoDB 配置接続 URI。 MONGODB_URI環境変数で接続 URI を設定するか、値を直接置き換えます。
key_vault_database_name - データ暗号化キー（DEK）が保存される MongoDB のデータベース。この変数を"encryption"に設定します。
key_vault_collection_name - DEK が保存される MongoDB のコレクション。この変数を"__keyVault"に設定します。
key_vault_namespace - DEK が保存される MongoDB の名前空間。この変数に、ピリオドで区切られたkey_vault_database_name変数とkey_vault_collection_name変数の値を設定します。
encrypted_database_name - 暗号化されたデータが保存される MongoDB のデータベース。この変数を"medicalRecords"に設定します。
encrypted_collection_name - 暗号化されたデータが保存される MongoDB のコレクション。この変数を"patients"に設定します。

次のコードを使用して、これらの変数を宣言できます。

# KMS provider name should be one of the following: "aws", "gcp", "azure", "kmip" or "local"
kms_provider_name = "<KMS provider name>"
uri = os.environ['MONGODB_URI']  # Your connection URI
key_vault_database_name = "encryption"
key_vault_collection_name = "__keyVault"
key_vault_namespace = f"{key_vault_database_name}.{key_vault_collection_name}"
encrypted_database_name = "medicalRecords"
encrypted_collection_name = "patients"

重要

キーヴォールトコレクションの名前空間権限

kmsProviderCredentials = {
  kmip: {
    endpoint: process.env["KMIP_KMS_ENDPOINT"], // Your KMIP KMS endpoint
  },
};

var kmsProviderCredentials = new Dictionary<string, IReadOnlyDictionary<string, object>>();
var kmsOptions = new Dictionary<string, object>
{
    { "endpoint", _appSettings["Kmip:KmsEndpoint"] } // Your KMIP KMS endpoint
};
kmsProviderCredentials.Add(kmsProvider, kmsOptions);

kmsProviderCredentials := map[string]map[string]interface{}{
	"kmip": {
		"endpoint": os.Getenv("KMIP_KMS_ENDPOINT"), // KMIP KMS endpoint
	},
}

Map<String, Object> kmsProviderDetails = new HashMap<>();
kmsProviderDetails.put("endpoint", getEnv("KMIP_KMS_ENDPOINT")); // Your KMIP KMS endpoint
Map<String, Map<String, Object>> kmsProviderCredentials = new HashMap<String, Map<String, Object>>();
kmsProviderCredentials.put("kmip", kmsProviderDetails);

kmsProviders = {
  kmip: {
    endpoint: process.env.KMIP_KMS_ENDPOINT, // Your KMIP KMS endpoint
  },
};

kms_provider_credentials = {
    "kmip": {
        "endpoint": os.environ['KMIP_KMS_ENDPOINT'] # Your KMIP KMS endpoint
    }
}

CMK 認証情報の追加

次のコード例に示すように、空のオブジェクトを作成します。これにより、 KMIP準拠のキープロバイダーに新しい CMK の生成が求められます。

customerMasterKeyCredentials = {};

var customerMasterKeyCredentials = new BsonDocument();

cmkCredentials := map[string]string{}

BsonDocument customerMasterKeyCredentials = new BsonDocument();

customerMasterKeyCredentials = {};

customer_master_key_credentials = {}

自動暗号化オプションを設定する

次のオプションを含むautoEncryptionOptionsオブジェクトを作成します。

キーヴォールトコレクションの名前空間
KMIPエンドポイントを含むkmsProviderCredentialsオブジェクト
証明書の指定ステップで作成したtlsOptionsオブジェクト

const autoEncryptionOptions = {
  keyVaultNamespace: keyVaultNamespace,
  kmsProviders: kmsProviderCredentials,
  tlsOptions,
};

次のオプションを含むAutoEncryptionOptionsオブジェクトを作成します。

キーヴォールトコレクションの名前空間
KMIPエンドポイントを含むkmsProviderCredentialsオブジェクト
自動暗号化共有ライブラリへのパスを含むextraOptionsオブジェクト
証明書の指定ステップで作成したtlsOptionsオブジェクト

var extraOptions = new Dictionary<string, object>
{
    { "cryptSharedLibPath", _appSettings["CryptSharedLibPath"] } // Path to your Automatic Encryption Shared Library
};
var autoEncryptionOptions = new AutoEncryptionOptions(
    keyVaultNamespace,
    kmsProviderCredentials,
    extraOptions: extraOptions,
    tlsOptions: tlsOptions);

次のオプションを含むAutoEncryptionオブジェクトを作成します。

キーヴォールトコレクションの名前空間
KMIPエンドポイントを含むkmsProviderCredentialsオブジェクト
自動暗号化共有ライブラリへのパスを含むcryptSharedLibraryPathオブジェクト
証明書の指定ステップで作成したtlsConfigオブジェクト

cryptSharedLibraryPath := map[string]interface{}{
	"cryptSharedLibPath": os.Getenv("SHARED_LIB_PATH"), // Path to your Automatic Encryption Shared Library
}
autoEncryptionOptions := options.AutoEncryption().
	SetKeyVaultNamespace(keyVaultNamespace).
	SetKmsProviders(kmsProviderCredentials).
	SetExtraOptions(cryptSharedLibraryPath).
	SetTLSConfig(tlsConfig)

次のオプションを含むAutoEncryptionSettingsオブジェクトを作成します。

キーヴォールトコレクションの名前空間
KMIPエンドポイントを含むkmsProviderCredentialsオブジェクト
自動暗号化共有ライブラリへのパスを含むextraOptionsオブジェクト

Map<String, Object> extraOptions = new HashMap<String, Object>();
extraOptions.put("cryptSharedLibPath", getEnv("SHARED_LIB_PATH")); // Path to your Automatic Encryption Shared Library
AutoEncryptionSettings autoEncryptionSettings = AutoEncryptionSettings.builder()
        .keyVaultNamespace(keyVaultNamespace)
        .kmsProviders(kmsProviderCredentials)
        .extraOptions(extraOptions)
        .build();

次のオプションを含むautoEncryptionOptionsオブジェクトを作成します。

キーヴォールトコレクションの名前空間
KMIPエンドポイントを含むkmsProvidersオブジェクト
自動暗号化共有ライブラリへのパスを含むsharedLibraryPathOptionsオブジェクト
証明書の指定ステップで作成したtlsOptionsオブジェクト

const extraOptions = {
  cryptSharedLibPath: process.env.SHARED_LIB_PATH, // Path to your Automatic Encryption Shared Library
};
const autoEncryptionOptions = {
  keyVaultNamespace,
  kmsProviders,
  extraOptions,
  tlsOptions,
};

次のオプションを含むAutoEncryptionOptsオブジェクトを作成します。

KMIPエンドポイントを含むkms_provider_credentialsオブジェクト
キーヴォールトコレクションの名前空間
自動暗号化共有ライブラリへのパス
証明書の指定ステップで作成したtls_optionsオブジェクト

auto_encryption_opts = AutoEncryptionOpts(
    kms_provider_credentials,
    key_vault_namespace,
    crypt_shared_lib_path=os.environ['SHARED_LIB_PATH'], # Path to your Automatic Encryption Shared Library
    kms_tls_options=tls_options
)

注意

自動暗号化オプション

自動暗号化オプションは、暗号化共有ライブラリに構成情報を提供し、暗号化されたフィールドにアクセスするときにアプリケーションの動作を変更します。

自動暗号化共有ライブラリの詳細については、「 Queryable Encryption のための自動暗号化共有ライブラリ」ページを参照してください。

暗号化されたコレクションを設定するためのクライアントの作成

コレクション内のデータの暗号化と復号化に使用されるクライアントを作成するには、接続 URI と自動暗号化オプションを使用して新しいMongoClientをインスタンス化します。

const encryptedClient = Mongo(uri, autoEncryptionOptions);

var clientSettings = MongoClientSettings.FromConnectionString(uri);
clientSettings.AutoEncryptionOptions = qeHelpers.GetAutoEncryptionOptions(
    keyVaultNamespace,
    kmsProviderCredentials);
var encryptedClient = new MongoClient(clientSettings);

encryptedClient, err := mongo.Connect(
	context.TODO(),
	options.Client().ApplyURI(uri).SetAutoEncryptionOptions(autoEncryptionOptions),
)
if err != nil {
	panic(fmt.Sprintf("Unable to connect to MongoDB: %v\n", err))
}
defer func() {
	_ = encryptedClient.Disconnect(context.TODO())
}()

MongoClientSettings clientSettings = MongoClientSettings.builder()
        .applyConnectionString(new ConnectionString(uri))
        .autoEncryptionSettings(autoEncryptionSettings)
        .build();
try (MongoClient encryptedClient = MongoClients.create(clientSettings)) {

const encryptedClient = new MongoClient(uri, {
  autoEncryption: autoEncryptionOptions,
});

encrypted_client = MongoClient(
    uri, auto_encryption_opts=auto_encryption_options)

暗号化するフィールドの指定

フィールドを暗号化するには、暗号化スキーマに追加します。フィールドでクエリを有効にするには、「クエリ」プロパティを追加します。暗号化スキーマは、次のように作成します。

const encryptedFieldsMap = {
  encryptedFields: {
    fields: [
      {
        path: "patientRecord.ssn",
        bsonType: "string",
        queries: { queryType: "equality" },
      },
      {
        path: "patientRecord.billing",
        bsonType: "object",
      },
    ],
  },
};

var encryptedFields = new BsonDocument
{
    {
        "fields", new BsonArray
        {
            new BsonDocument
            {
                { "keyId", BsonNull.Value },
                { "path", "record.ssn" },
                { "bsonType", "string" },
                { "queries", new BsonDocument("queryType", "equality") }
            },
            new BsonDocument
            {
                { "keyId", BsonNull.Value },
                { "path", "record.billing" },
                { "bsonType", "object" }
            }
        }
    }
};

encryptedFieldsMap := bson.M{
	"fields": []bson.M{
		bson.M{
			"keyId":    nil,
			"path":     "patientRecord.ssn",
			"bsonType": "string",
			"queries": []bson.M{
				{
					"queryType": "equality",
				},
			},
		},
		bson.M{
			"keyId":    nil,
			"path":     "patientRecord.billing",
			"bsonType": "object",
		},
	},
}

BsonDocument encryptedFieldsMap = new BsonDocument().append("fields",
        new BsonArray(Arrays.asList(
                new BsonDocument()
                        .append("keyId", new BsonNull())
                        .append("path", new BsonString("patientRecord.ssn"))
                        .append("bsonType", new BsonString("string"))
                        .append("queries", new BsonDocument()
                                .append("queryType", new BsonString("equality"))),
                new BsonDocument()
                        .append("keyId", new BsonNull())
                        .append("path", new BsonString("patientRecord.billing"))
                        .append("bsonType", new BsonString("object")))));

const encryptedFieldsMap = {
  encryptedFields: {
    fields: [
      {
        path: "patientRecord.ssn",
        bsonType: "string",
        queries: { queryType: "equality" },
      },
      {
        path: "patientRecord.billing",
        bsonType: "object",
      },
    ],
  },
};

encrypted_fields_map = {
    "fields": [
        {
            "path": "patientRecord.ssn",
            "bsonType": "string",
            "queries": [{"queryType": "equality"}]
        },
        {
            "path": "patientRecord.billing",
            "bsonType": "object",
        }
    ]
}

注意

前のコード例では、「ssn」フィールドと「 Billing 」フィールドの両方が暗号化されていますが、クエリは「ssn」フィールドのみです。

コレクションの作成

暗号化ヘルパーメソッドの API にアクセスするには、 ClientEncryptionをインスタンス化します。

const clientEncryption = encryptedClient.getClientEncryption()

var clientEncryptionOptions = new ClientEncryptionOptions(
    keyVaultClient: keyVaultClient,
    keyVaultNamespace: keyVaultNamespace,
    kmsProviders: kmsProviderCredentials
);
var clientEncryption = new ClientEncryption(clientEncryptionOptions);

opts := options.ClientEncryption().
	SetKeyVaultNamespace(keyVaultNamespace).
	SetKmsProviders(kmsProviderCredentials)
clientEncryption, err := mongo.NewClientEncryption(encryptedClient, opts)
if err != nil {
	panic(fmt.Sprintf("Unable to create a ClientEncryption instance due to the following error: %s\n", err))
}

ClientEncryptionSettings clientEncryptionSettings = ClientEncryptionSettings.builder()
        .keyVaultMongoClientSettings(MongoClientSettings.builder()
                .applyConnectionString(new ConnectionString(uri))
                .build())
        .keyVaultNamespace(keyVaultNamespace)
        .kmsProviders(kmsProviderCredentials)
        .build();
ClientEncryption clientEncryption = ClientEncryptions.create(clientEncryptionSettings);

const clientEncryption = new ClientEncryption(encryptedClient, autoEncryptionOptions);

client_encryption = ClientEncryption(
    kms_providers=kms_provider_credentials,
    key_vault_namespace=key_vault_namespace,
    key_vault_client=encrypted_client,
    codec_options=CodecOptions(uuid_representation=STANDARD)
)

ClientEncryptionクラスからアクセスされる暗号化ヘルパーメソッドを使用して、暗号化されたコレクションを作成します。このメソッドは、暗号化されたフィールドのデータ暗号化キーを自動的に生成し、暗号化されたコレクションを作成します。

await clientEncryption.createEncryptedCollection(
  encryptedDatabaseName,
  encryptedCollectionName,
  {
    provider: kmsProviderName,
    createCollectionOptions: encryptedFieldsMap,
    masterKey: customerMasterKeyCredentials,
  }
);

このチュートリアルの C# バージョンでは、ドキュメント構造を表すためのデータモデルとして個別のクラスを使用します。次のPatient 、 PatientRecord 、 PatientBillingクラスをプロジェクトに追加します。

using MongoDB.Bson;
using MongoDB.Bson.Serialization.Attributes;
[BsonIgnoreExtraElements]
public class Patient
{
    public ObjectId Id { get; set; }
    public string Name { get; set; }
    public PatientRecord Record { get; set; }
}

public class PatientRecord
{
    public string Ssn { get; set; }
    public PatientBilling Billing { get; set; }
}

public class PatientBilling
{
    public string CardType { get; set; }
    public long CardNumber { get; set; }
}

これらのクラスを追加したら、 ClientEncryptionクラスからアクセスされる暗号化ヘルパーメソッドを使用して暗号化されたコレクションを作成します。このメソッドは、暗号化されたフィールドのデータ暗号化キーを自動的に生成し、暗号化されたコレクションを作成します。

var createCollectionOptions = new CreateCollectionOptions<Patient>
{
    EncryptedFields = encryptedFields
};
clientEncryption.CreateEncryptedCollection(patientDatabase,
    encryptedCollectionName,
    createCollectionOptions,
    kmsProviderName,
    customerMasterKeyCredentials);

Tip

データベースとデータベース名

暗号化されたコレクションを作成するメソッドには、データベース名ではなく、データベースオブジェクトへの参照が必要です。この参照は、クライアントオブジェクトでメソッドを使用して取得できます。

このチュートリアルのGoバージョンでは、データモデルを使用してドキュメント構造を表します。コレクション内のデータを表すには、次の構造体をプロジェクトに追加します。

type PatientDocument struct {
	PatientName   string        `bson:"patientName"`
	PatientID     int32         `bson:"patientId"`
	PatientRecord PatientRecord `bson:"patientRecord"`
}

type PatientRecord struct {
	SSN     string      `bson:"ssn"`
	Billing PaymentInfo `bson:"billing"`
}

type PaymentInfo struct {
	Type   string `bson:"type"`
	Number string `bson:"number"`
}

createCollectionOptions := options.CreateCollection().SetEncryptedFields(encryptedFieldsMap)
_, _, err =
	clientEncryption.CreateEncryptedCollection(
		context.TODO(),
		encryptedClient.Database(encryptedDatabaseName),
		encryptedCollectionName,
		createCollectionOptions,
		kmsProviderName,
		customerMasterKey,
	)

Tip

データベースとデータベース名

CreateCollectionOptions createCollectionOptions = new CreateCollectionOptions().encryptedFields(encryptedFieldsMap);
CreateEncryptedCollectionParams encryptedCollectionParams = new CreateEncryptedCollectionParams(kmsProviderName);
encryptedCollectionParams.masterKey(customerMasterKeyCredentials);
try {
    clientEncryption.createEncryptedCollection(
            encryptedClient.getDatabase(encryptedDatabaseName),
            encryptedCollectionName,
            createCollectionOptions,
            encryptedCollectionParams);
}

Tip

データベースとデータベース名

注意

ClientEncryption のインポート

Node.js ドライバー v6.0 以降を使用する場合は、 mongodb ClientEncryptionをインポートする必要があります。

以前のドライバーバージョンの場合は、 mongodb-client-encryption ClientEncryptionをインポートします。

await clientEncryption.createEncryptedCollection(
  encryptedDatabase,
  encryptedCollectionName,
  {
    provider: kmsProviderName,
    createCollectionOptions: encryptedFieldsMap,
    masterKey: customerMasterKeyCredentials,
  }
);

Tip

データベースとデータベース名

client_encryption.create_encrypted_collection(
    encrypted_client[encrypted_database_name],
    encrypted_collection_name,
    encrypted_fields_map,
    kms_provider_name,
    customer_master_key_credentials,
)

Tip

データベースとデータベース名

暗号化されたフィールドを含むドキュメントの挿入

ユーザの個人情報を説明するサンプルドキュメントを作成します。次の例に示すように、暗号化されたクライアントを使用して、 patientsコレクションに挿入します。

const patientDocument = {
  patientName: "Jon Doe",
  patientId: 12345678,
  patientRecord: {
    ssn: "987-65-4320",
    billing: {
      type: "Visa",
      number: "4111111111111111",
    },
  },
};
const encryptedCollection = encryptedClient.getDB(encryptedDatabaseName).getCollection(encryptedCollectionName);
const insertResult = await encryptedCollection.insertOne(patientDocument);

var patient = new Patient
{
    Name = "Jon Doe",
    Id = new ObjectId(),
    Record = new PatientRecord
    {
        Ssn = "987-65-4320",
        Billing = new PatientBilling
        {
            CardType = "Visa",
            CardNumber = 4111111111111111
        }
    }
};
var encryptedCollection = encryptedClient.GetDatabase(encryptedDatabaseName).
    GetCollection<Patient>(encryptedCollectionName);
encryptedCollection.InsertOne(patient);

patientDocument := &PatientDocument{
	PatientName: "John Doe",
	PatientID:   12345678,
	PatientRecord: PatientRecord{
		SSN: "987-65-4320",
		Billing: PaymentInfo{
			Type:   "Visa",
			Number: "4111111111111111",
		},
	},
}
coll := encryptedClient.Database(encryptedDatabaseName).Collection(encryptedCollectionName)
_, err = coll.InsertOne(context.TODO(), patientDocument)
if err != nil {
	panic(fmt.Sprintf("Unable to insert the patientDocument: %s", err))
}

このチュートリアルでは、ドキュメント構造を表すデータモデルとして POJO を使用します。 POJO を使用するようにアプリケーションを設定するには、次のコードを追加します。

CodecProvider pojoCodecProvider = PojoCodecProvider.builder().automatic(true).build();
CodecRegistry pojoCodecRegistry = fromRegistries(getDefaultCodecRegistry(), fromProviders(pojoCodecProvider));

Java POJO について詳しくは、 Wikipedia で Plain Old Java Object に関する記事を参照してください。

このチュートリアルでは、次の POJO を使用します。

Patient
PatientRecord
PatientBilling

これらのクラスは、完全な Java アプリケーションのモデルパッケージで表示できます。

これらの POJO クラスをアプリケーションに追加します。次に、対象の個人情報を記述するPatientのインスタンスを作成します。次の例に示すように、暗号化されたクライアントを使用して、 patientsコレクションに挿入します。

MongoDatabase encryptedDb = encryptedClient.getDatabase(encryptedDatabaseName).withCodecRegistry(pojoCodecRegistry);
MongoCollection<Patient> collection = encryptedDb.getCollection(encryptedCollectionName, Patient.class);
PatientBilling patientBilling = new PatientBilling("Visa", "4111111111111111");
PatientRecord patientRecord = new PatientRecord("987-65-4320", patientBilling);
Patient patientDocument = new Patient("Jon Doe", patientRecord);
InsertOneResult result = collection.insertOne(patientDocument);

const patientDocument = {
  patientName: "Jon Doe",
  patientId: 12345678,
  patientRecord: {
    ssn: "987-65-4320",
    billing: {
      type: "Visa",
      number: "4111111111111111",
    },
  },
};
const encryptedCollection = encryptedClient
  .db(encryptedDatabaseName)
  .collection(encryptedCollectionName);
const result = await encryptedCollection.insertOne(patientDocument);

patient_document = {
    "patientName": "Jon Doe",
    "patientId": 12345678,
    "patientRecord": {
        "ssn": "987-65-4320",
        "billing": {
            "type": "Visa",
            "number": "4111111111111111",
        },
    },
}
encrypted_collection = encrypted_client[encrypted_database_name][encrypted_collection_name]
result = encrypted_collection.insert_one(patient_document)

暗号化されたフィールドに対するクエリ

次のコードサンプルでは、暗号化されたフィールドに対して検索クエリを実行し、復号化されたデータを出力します。

const findResult = await encryptedCollection.findOne({
  "patientRecord.ssn": "987-65-4320",
});
console.log(findResult);

var ssnFilter = Builders<Patient>.Filter.Eq("record.ssn", patient.Record.Ssn);
var findResult = await encryptedCollection.Find(ssnFilter).ToCursorAsync();
Console.WriteLine(findResult.FirstOrDefault().ToJson());

var findResult PatientDocument
err = coll.FindOne(
	context.TODO(),
	bson.M{"patientRecord.ssn": "987-65-4320"},
).Decode(&findResult)

Patient findResult = collection.find(
    new BsonDocument()
            .append("patientRecord.ssn", new BsonString("987-65-4320")))
            .first();
 
System.out.println(findResult);

const findResult = await encryptedCollection.findOne({
  "patientRecord.ssn": "987-65-4320",
});
console.log(findResult);

find_result = encrypted_collection.find_one({
    "patientRecord.ssn": "987-65-4320"
})
print(find_result)

上記のコードサンプルの出力は、次のようになります。

{
  "_id": {
    "$oid": "648b384a722cb9b8392df76a"
  },
  "name": "Jon Doe",
  "record": {
    "ssn": "987-65-4320",
    "billing": {
      "type": "Visa",
      "number": "4111111111111111"
    }
  },
  "__safeContent__": [
    {
      "$binary": {
        "base64": "L1NsYItk0Sg+oL66DBj6IYHbX7tveANQyrU2cvMzD9Y=",
        "subType": "00"
      }
    }
  ]
}

警告

MongoDB_ENUS_JAJP フィールドを変更しないでください

__safeContent__フィールドは Queryable Encryption に必須です。このフィールドの内容は変更しないでください。

詳細

Queryable Encryptionの仕組みについては、「基礎」を参照してください。

このガイドで言及されているトピックについて詳しくは、次のリンクを参照してください。

Queryable Encryption コンポーネントの詳細については、リファレンスページを参照してください。
カスタマーマスターキーとデータ暗号化キーの仕組みについては、「キーとキーヴォールト」ページを参照してください。
KMS プロバイダーが Queryable Encryption キーを管理する方法については、 KMS プロバイダーのページで確認してください。

戻る

Use GCP

明示的な暗号化の使用

Overview

Tip

CMK（カスタマー マスター キー）

始める前に

Tip

詳細: フルアプリケーション

KMS を設定する

KMIP 準拠のキー プロバイダーを設定する

証明書を指定する

重要

重要

注意

SSLContext を使用したクライアントの構成

アプリケーションを作成する

アプリケーション変数を割り当てる

重要

キーヴォールトコレクションの名前空間権限

Tip

環境変数

Tip

環境変数

Tip

環境変数

Tip

環境変数

Tip

環境変数

Tip

環境変数

暗号化されたコレクションの作成

KMIP に準拠したキー プロバイダーの KMS 認証情報を追加する

CMK 認証情報の追加

自動暗号化オプションを設定する

注意

自動暗号化オプション

暗号化されたコレクションを設定するためのクライアントの作成

暗号化するフィールドの指定

注意

コレクションの作成

Tip

データベースとデータベース名

Tip

データベースとデータベース名

Tip

データベースとデータベース名

注意

ClientEncryption のインポート

Tip

データベースとデータベース名

Tip

データベースとデータベース名

暗号化されたフィールドを含むドキュメントの挿入

暗号化されたフィールドに対するクエリ

警告

MongoDB_ENUS_JAJP フィールドを変更しないでください

詳細

CMK（カスタマーマスターキー）

KMIP 準拠のキープロバイダーを設定する

KMIP に準拠したキープロバイダーの KMS 認証情報を追加する