Menu Docs
Página inicial do Docs
/
Manual do MongoDB
/ / / / /

Criptografia explícita

Nesta página

  • Visão geral
  • Usar criptografia explícita
  • Criar uma Instância do ClientEncryption
  • Criptografar campos em operações de leitura e gravação
  • Descriptografia automática
  • Aplicação de criptografia em nível de campo no lado do servidor
  • Saiba mais

A criptografia explícita fornece controle refinado sobre a segurança, ao custo de maior complexidade ao configurar collections e escrever código para os drivers do MongoDB. Com a criptografia explícita, você especifica como criptografar campos em seu documento para cada operação executada no banco de dados e inclui essa lógica em todo o aplicativo.

A criptografia explícita está disponível nos seguintes produtos MongoDB:

  • Servidor MongoDB Community

  • MongoDB Enterprise Advanced

  • MongoDB Atlas

ClientEncryption é uma abstração usada entre drivers e mongosh que encapsula a Key Vault Collection e as operações KMS envolvidas na criptografia explícita.

Para criar uma instância do ClientEncryption , especifique:

  • Um objeto kmsProviders configurado com acesso ao provedor de KMS que hospeda sua chave mestra do cliente

  • O namespace da sua coleção do Key Vault

  • Se você utilizar o servidor da comunidade MongoDB, configure a opção bypassQueryAnalysis para True

  • Uma instância do MongoClient com acesso à sua coleção do Key Vault

Para mais opções do ClientEncryption , consulte Opções do Queryable Encryption.

Você deve atualizar as operações de leitura e gravação em todo o aplicativo para que ele criptografe os campos antes de executar operações de leitura e gravação.

Para criptografar campos, use o método encrypt de sua instância ClientEncryption . Especifique o seguinte:

  • O valor a ser criptografado

  • O algoritmo usado: Indexed, Unindexed ou Range

  • O ID do diretório de dados

  • O fator de contenção (se você estiver usando o algoritmo Indexed ou Range )

  • Se você estiver executando uma operação de leitura utilizando o algoritmo Indexed ou Range , defina o tipo de query definido para seu campo.

  • As opções range min, max (se você estiver usando o algoritmo Range )

Observação

Tipos de query

O tipo de query se aplica somente a operações de leitura.

Para saber mais sobre os tipos de query, consulte Tipos de query suportados e comportamento.

Use o algoritmo Indexed ou Range se você especificar um queryType no campo.

Indexed suporta queries de igualdade. Range suporta queries de intervalo. Os campos Indexed e Range exigem um índice no servidor. O índice é criado especificando a opção encryptedFields em db.createCollection().

Observação

A partir do MongoDB 8.0, o algoritmo rangePreview Queryable Encryption foi preterido e removido. Em vez disso, use o algoritmo Range.

Se sua Queryable Encryption usar rangePreview, você deverá descartar a coleção antes de atualizar para o MongoDB 8.0.

Para descriptografar campos automaticamente, configure sua instância do MongoClient como segue:

  • Especifique um objeto kmsProviders

  • Especifique sua coleção do Key Vault

  • Se você utilizar o servidor da comunidade MongoDB, configure a opção bypassQueryAnalysis para True

Observação

Descriptografia automática no MongoDB Community servidor

A descriptografia automática está disponível no MongoDB Community Server. A criptografia automática requer MongoDB Enterprise ou MongoDB Atlas.

Etapas para impor a criptografia de campos específicos em uma coleção.

Indexed e Range campos exigem um índice no servidor. O índice é criado especificando a opção encryptedFields em db.createCollection().

Se sua instância do MongoDB impor a criptografia de campos específicos, qualquer cliente que execute a Queryable Encryption com criptografia explícita deverá criptografar esses campos conforme especificado. Para saber como configurar a aplicação da Queryable Encryption no lado do servidor, consulte Campos criptografados e queries ativadas.

Para saber mais sobre coleções de Key Vault, chaves de criptografia de dados e chaves mestras de clientes, consulte Chaves de criptografia e Key Vaults.

Para saber mais sobre provedores de KMS e objetos kmsProviders , consulte Provedores de KMS.

Voltar

Collections