키 및 키 자격 증명 모음Keys and Key Vaults
개요
이 가이드에서는 CSFLE(클라이언트 측 필드 레벨 암호화)의 다음 구성 요소에 대해 자세히 알아볼 수 있습니다.
데이터 암호화 키(DEK)
고객 마스터 키(CMK)
키 볼트 컬렉션
키 관리 시스템(KMS)
이전 구성 요소를 사용하여 CSFLE 허용 클라이언트를 설정하는 방법을 보여주는 단계별 가이드를 보려면 다음 리소스를 참조하세요.
키
데이터 암호화 키( DEK )는 MongoDB가 문서의 필드를 암호화하는 데 사용하는 키입니다. 당신은 고객 마스터 키(CMK )로 암호화된 키 볼트 컬렉션의 문서에 DEK 를 저장합니다.
고객 마스터 키는 MongoDB가 데이터 암호화 키를 생성하는 동안 암호화하는 데 사용하는 키입니다. CMK 에 대한 액세스 권한이 없으면 클라이언트 애플리케이션은 관련 DEK를 복호화할 수 없습니다.
DEK를 삭제하면 해당 DEK로 암호화된 모든 필드를 영구적으로 읽을 수 없게 됩니다. CMK를 삭제하면 해당 CMK를 사용하여 DEK로 암호화된 모든 필드는 영구적으로 읽을 수 없게 됩니다.
경고
고객 마스터 키는 Queryable Encryption에서 가장 민감한 키입니다. CMK가 손상되면 암호화된 모든 데이터를 해독할 수 있습니다. 원격 키 관리 시스템을 사용하여 CMK를 저장합니다.
중요
원격 키 관리 서비스 제공자 사용
고객 마스터 키를 원격 키 관리 시스템(KMS)에 저장합니다.
원격 KMS를 사용해야 하는 이유에 대해 자세히 알아보려면 원격 KMS 를 사용해야 하는 이유를 참조하세요.
지원되는 모든 KMS 제공자 목록을 보려면 KMS 제공자 페이지를 참조하세요.
지원되는 모든 KMS 제공자 아키텍처에서 DEK, CMK 및 키 볼트 컬렉션이 상호 작용하는 방식을 자세히 설명하는 다이어그램을 보려면 CSFLE KMS 제공자를 참조하세요.
키 볼트 컬렉션
키 볼트 컬렉션은 암호화된 DEK(Data Encryption Key) 문서를 저장하는 데 사용하는 MongoDB 컬렉션입니다. DEK 문서는 DEK를 포함하는 BSON 문서로 다음과 같은 구조를 가집니다.
{ "_id" : UUID(<string>), "status" : <int>, "masterKey" : {<object>}, "updateDate" : ISODate(<string>), "keyMaterial" : BinData(0,<string>), "creationDate" : ISODate(<string>), "keyAltNames" : <array> }
키 볼트 컬렉션은 표준 MongoDB collection을 만들 때와 마찬가지로 생성할 수 있습니다. 키 볼트 컬렉션에는 keyAltNames
필드에 고유 인덱스 가 있어야 합니다. 고유 인덱스가 있는지 확인하려면 Key Vault collection에 대해 listIndexes
명령을 실행합니다.
1 db.runCommand({ 2 listIndexes: "__keyVault", 3 });
1 { 2 cursor: { 3 id: Long("0"), 4 ns: 'encryption.__keyVault', 5 firstBatch: [ 6 { v: 2, key: { _id: 1 }, name: '_id_' } 7 ] 8 }, 9 ok: 1, 10 }
고유 인덱스가 존재하지 않는 경우, DEK 관리를 수행하기 전에 애플리케이션에서 인덱스를 생성해야 합니다.
MongoDB 컬렉션을 만드는 방법을 알아보려면 데이터베이스 및 컬렉션을 참조하세요.
키 볼트 컬렉션 이름
관리자가 아닌 네임스페이스를 사용하여 키 볼트 컬렉션을 저장할 수 있습니다. 관례에 따라 이 문서 전체의 예시에서는 encryption.__keyVault
네임스페이스를 사용합니다.
경고
암호화 관련 컬렉션을 저장하는 데 admin
데이터베이스를 사용하지 않도록 합니다. 이 컬렉션에 관리자 데이터베이스를 사용하는 경우, 권한 부족으로 인해 MongoDB 클라이언트에서 데이터에 액세스하거나 암호를 해독하지 못할 수 있습니다.
권한
키 볼트 컬렉션에 대한 read
액세스 권한이 있는 애플리케이션은 컬렉션을 쿼리하여 암호화된 DEK(데이터 암호화 키)를 검색할 수 있습니다. 그러나 DEK 암호화에 사용되는 CMK(고객 마스터 키)에 액세스할 수 있는 애플리케이션만 해당 DEK를 암호화 또는 복호화에 사용할 수 있습니다. DEK로 문서를 암호화하고 해독하려면 애플리케이션에 키 볼트 컬렉션과 CMK에 대한 액세스 권한을 모두 부여해야 합니다.
MongoDB collection에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 MongoDB 설명서의 사용자 및 역할 관리를 참조하세요.
애플리케이션에 CMK 액세스 권한을 부여하는 방법을 알아보려면 튜토리얼을 참조하세요.
키 볼트 클러스터
기본적으로 MongoDB는 연결된 클러스터에 키 볼트 컬렉션을 저장합니다. MongoDB는 연결된 클러스터와 다른 MongoDB deployment에서 키 볼트 컬렉션 호스팅도 지원합니다. 애플리케이션이 Queryable Encryption 작업을 수행하려면 키 볼트 컬렉션을 호스팅하는 클러스터와 연결 클러스터에 모두 액세스할 수 있어야 합니다.
키 볼트 컬렉션을 호스팅하는 클러스터를 지정하려면 클라이언트 MongoClient
객체의 keyVaultClient
필드를 사용합니다. 클라이언트의 MongoClient
객체에 있는 CSFLE 관련 구성 옵션에 대해 자세히 알아보려면 CSFLE 관련 MongoClient 옵션을 참조하세요.
키 볼트 collection 업데이트
키 볼트 컬렉션에 DEK를 추가하려면 ClientEncryption
객체의 createKey
메서합니다.드를 사용하세요.
DEK 를 삭제하거나 업데이트하려면 표준 CRUD 작업을 사용합니다. DEK를 MongoDB에 문서로 저장하고 모든 문서 작업을 DEK에 적용할 수 있습니다.
DEK를 만드는 방법을 보여주는 튜토리얼을 보려면 빠른 시작을 참조하세요.