Docs Menu
Docs Home
/
MongoDB 매뉴얼
/ / / / /

키 및 키 자격 증명 모음Keys and Key Vaults

이 페이지의 내용

  • 개요
  • 키 볼트 컬렉션
  • 키 볼트 컬렉션 이름
  • 권한
  • 키 볼트 클러스터
  • 키 볼트 collection 업데이트

이 가이드에서는 CSFLE(클라이언트 측 필드 레벨 암호화)의 다음 구성 요소에 대해 자세히 알아볼 수 있습니다.

  • 데이터 암호화 키(DEK)

  • 고객 마스터 키(CMK)

  • 키 볼트 컬렉션

  • 키 관리 시스템(KMS)

이전 구성 요소를 사용하여 CSFLE 허용 클라이언트를 설정하는 방법을 보여주는 단계별 가이드를 보려면 다음 리소스를 참조하세요.

데이터 암호화 키( DEK )는 MongoDB가 문서의 필드를 암호화하는 데 사용하는 키입니다. 당신은 고객 마스터 키(CMK )로 암호화된 키 볼트 컬렉션의 문서에 DEK 를 저장합니다.

고객 마스터 키는 MongoDB가 데이터 암호화 키를 생성하는 동안 암호화하는 데 사용하는 키입니다. CMK 에 대한 액세스 권한이 없으면 클라이언트 애플리케이션은 관련 DEK를 복호화할 수 없습니다.

DEK를 삭제하면 해당 DEK로 암호화된 모든 필드를 영구적으로 읽을 수 없게 됩니다. CMK를 삭제하면 해당 CMK를 사용하여 DEK로 암호화된 모든 필드는 영구적으로 읽을 수 없게 됩니다.

경고

고객 마스터 키는 Queryable Encryption에서 가장 민감한 키입니다. CMK가 손상되면 암호화된 모든 데이터를 해독할 수 있습니다. 원격 키 관리 시스템을 사용하여 CMK를 저장합니다.

중요

원격 키 관리 서비스 제공자 사용

고객 마스터 키를 원격 키 관리 시스템(KMS)에 저장합니다.

원격 KMS를 사용해야 하는 이유에 대해 자세히 알아보려면 원격 KMS 를 사용해야 하는 이유를 참조하세요.

지원되는 모든 KMS 제공자 목록을 보려면 KMS 제공자 페이지를 참조하세요.

지원되는 모든 KMS 제공자 아키텍처에서 DEK, CMK 및 키 볼트 컬렉션이 상호 작용하는 방식을 자세히 설명하는 다이어그램을 보려면 CSFLE KMS 제공자를 참조하세요.

키 볼트 컬렉션은 암호화된 DEK(Data Encryption Key) 문서를 저장하는 데 사용하는 MongoDB 컬렉션입니다. DEK 문서는 DEK를 포함하는 BSON 문서로 다음과 같은 구조를 가집니다.

{
"_id" : UUID(<string>),
"status" : <int>,
"masterKey" : {<object>},
"updateDate" : ISODate(<string>),
"keyMaterial" : BinData(0,<string>),
"creationDate" : ISODate(<string>),
"keyAltNames" : <array>
}

키 볼트 컬렉션은 표준 MongoDB collection을 만들 때와 마찬가지로 생성할 수 있습니다. 키 볼트 컬렉션에는 keyAltNames 필드에 고유 인덱스 가 있어야 합니다. 고유 인덱스가 있는지 확인하려면 Key Vault collection에 대해 listIndexes 명령을 실행합니다.

1db.runCommand({
2 listIndexes: "__keyVault",
3});
1{
2 cursor: {
3 id: Long("0"),
4 ns: 'encryption.__keyVault',
5 firstBatch: [
6 { v: 2, key: { _id: 1 }, name: '_id_' }
7 ]
8 },
9 ok: 1,
10}

고유 인덱스가 존재하지 않는 경우, DEK 관리를 수행하기 전에 애플리케이션에서 인덱스를 생성해야 합니다.

MongoDB 컬렉션을 만드는 방법을 알아보려면 데이터베이스 및 컬렉션을 참조하세요.

mongosh 기능

mongosh 메서드 KeyVault.createKey()keyAltNames 필드에 고유 인덱스가 없는 경우 자동으로 고유 인덱스를 생성합니다.

관리자가 아닌 네임스페이스를 사용하여 키 볼트 컬렉션을 저장할 수 있습니다. 관례에 따라 이 문서 전체의 예시에서는 encryption.__keyVault 네임스페이스를 사용합니다.

경고

암호화 관련 컬렉션을 저장하는 데 admin 데이터베이스를 사용하지 않도록 합니다. 이 컬렉션에 관리자 데이터베이스를 사용하는 경우, 권한 부족으로 인해 MongoDB 클라이언트에서 데이터에 액세스하거나 암호를 해독하지 못할 수 있습니다.

키 볼트 컬렉션에 대한 read 액세스 권한이 있는 애플리케이션은 컬렉션을 쿼리하여 암호화된 DEK(데이터 암호화 키)를 검색할 수 있습니다. 그러나 DEK 암호화에 사용되는 CMK(고객 마스터 키)에 액세스할 수 있는 애플리케이션만 해당 DEK를 암호화 또는 복호화에 사용할 수 있습니다. DEK로 문서를 암호화하고 해독하려면 애플리케이션에 키 볼트 컬렉션과 CMK에 대한 액세스 권한을 모두 부여해야 합니다.

MongoDB collection에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 MongoDB 설명서의 사용자 및 역할 관리를 참조하세요.

애플리케이션에 CMK 액세스 권한을 부여하는 방법을 알아보려면 튜토리얼을 참조하세요.

기본적으로 MongoDB는 연결된 클러스터에 키 볼트 컬렉션을 저장합니다. MongoDB는 연결된 클러스터와 다른 MongoDB deployment에서 키 볼트 컬렉션 호스팅도 지원합니다. 애플리케이션이 Queryable Encryption 작업을 수행하려면 키 볼트 컬렉션을 호스팅하는 클러스터와 연결 클러스터에 모두 액세스할 수 있어야 합니다.

키 볼트 컬렉션을 호스팅하는 클러스터를 지정하려면 클라이언트 MongoClient 객체의 keyVaultClient 필드를 사용합니다. 클라이언트의 MongoClient 객체에 있는 CSFLE 관련 구성 옵션에 대해 자세히 알아보려면 CSFLE 관련 MongoClient 옵션을 참조하세요.

키 볼트 컬렉션에 DEK를 추가하려면 ClientEncryption 객체의 createKey 메서합니다.드를 사용하세요.

DEK 를 삭제하거나 업데이트하려면 표준 CRUD 작업을 사용합니다. DEK를 MongoDB에 문서로 저장하고 모든 문서 작업을 DEK에 적용할 수 있습니다.

DEK를 만드는 방법을 보여주는 튜토리얼을 보려면 빠른 시작을 참조하세요.

mongosh 특정 기능

돌아가기

Schemas