Menu Docs
Página inicial do Docs
/
Manual do MongoDB
/
Segurança
/
Criptografia
/
Criptografia em execução
/
Criptografia no nível de campo do cliente
/
Referência

Provedores de KMS CSFLE

Nesta página

  • Visão geral
  • Principais tarefas do serviço de gerenciamento
  • Crie e armazene sua chave mestra do cliente
  • Criar e criptografar uma chave de encriptação de dados
  • Serviços de gerenciamento de chaves suportados
  • KMS do Amazon Web Services
  • Azure Key Vault
  • KMS do Google Cloud Platform
  • KMIP
  • Provedor de chaves local

Visão geral

Saiba mais sobre os provedores de serviços KMS que a criptografia de nível de campo (CSFLE) do lado do cliente suporta.

Um Serviço de Gerenciamento de Chaves é um Sistema de Gerenciamento de Chaves fornecido como um serviço.

Principais tarefas do serviço de gerenciamento

No CSFLE, seu serviço de gerenciamento de chaves executa as seguintes tarefas:

  • Cria e armazena sua chave mestra do cliente

  • Crie e criptografe suas chaves de criptografia de dados

Para saber mais sobre chave mestra do cliente e chave de encriptação de dados, consulte Keys and Key Vaults.

Crie e armazene sua chave mestra do cliente

Para criar uma chave mestra do cliente, você deve configurar seu provedor de KMS para gerar sua chave mestra do cliente da seguinte maneira:

Diagrama

Para ver um tutorial que demonstra como criar e armazenar sua chave mestra do cliente no seu KMS de preferência, consulte Tutoriais.

Criar e criptografar uma chave de encriptação de dados

Ao criar uma Chave de criptografia de dados, você deve executar as seguintes ações:

  • Instanciar uma instância ClientEncryption em seu aplicativo habilitado para CSFLE:

    • Forneça um objeto kmsProviders que especifique as credenciais que seu aplicativo compatível com CSFLE usa para se autenticar com seu KMS.

  • Crie uma Chave de criptografia de dados com o método CreateDataKey do objeto ClientEncryption em seu aplicativo habilitado para CSFLE.

    • Forneça um objeto do dataKeyOpts que especifique com qual chave seu KMS deve criptografar sua nova Chave de criptografia de dados.

Para aprender a criar e criptografar uma Chave de encriptação de dados, assista ao tutorial disponível nos recursos a seguir:

Para visualizar a estrutura de objetos do kmsProviders e dataKeyOpts para todos os provedores KMS suportados, consulte Serviços de gerenciamento de chaves compatíveis.

Serviços de gerenciamento de chaves suportados

As seções a seguir desta página apresentam as seguintes informações para todos os provedores do serviço de gerenciamento de chaves:

  • Arquitetura de cliente habilitado para CSFLE

  • Estrutura de kmsProviders objetos

  • Estrutura de dataKeyOpts objetos

O CSFLE é compatível com os seguintes provedores do Key Management Service:

KMS do Amazon Web Services

Esta seção fornece informações relacionadas ao uso em seu aplicação habilitado para CSFLE Amazon Web Services KMS .

Para ver um tutorial que demonstra como usar o AWS KMS em seu aplicativo habilitado para CSFLE, consulte Usar criptografia automática no nível do campo do lado do cliente com a AWS.

Arquitetura

O diagrama a seguir descreve a arquitetura de um aplicativo habilitado para CSFLE usando o AWS KMS.

Diagrama KMS

Observação

O cliente não consegue acessar a chave mestra do cliente

Ao usar o KMS anterior, sua aplicação habilitada para CSFLE não tem acesso à sua chave mestra do cliente.

Objeto kmsProviders

A tabela a seguir apresenta a estrutura de um objeto kmsProviders para o AWS KMS:

Campo
Obrigatório para o usuário do IAM
Obrigatório para a função do IAM
Descrição
ID da chave de acesso
Sim
Sim
Identifica o usuário da conta.
Chave de acesso secreta
Sim
Sim
Contém as credenciais de autenticação do usuário da conta.
Session Token
No
Sim
Contém um token obtido do AWS Security Token Service (STS).

Objeto de Realm DataKeyOpts

A tabela a seguir apresenta a estrutura de um objeto dataKeyOpts para o AWS KMS:

Campo
Obrigatório
Descrição
chave
Sim
região
No
Região AWS de sua chave mestra, por exemplo. "us-west-2"; necessário somente se não for especificado em seu ARN.
endpoint
No
Nome de host personalizado para o endpoint AWS, se configurado para sua conta.

Azure Key Vault

Esta seção fornece informações relacionadas ao uso do Azure Key Vault em seu aplicativo habilitado para CSFLE.

Para ver um tutorial demonstrando como usar o Azure Key Vault em seu aplicativo compatível com CSFLE, consulte Usar criptografia automática em nível de campo do lado do clientecom o Azure.

Arquitetura

O diagrama a seguir descreve a arquitetura de um aplicativo habilitado para CSFLE usando o Azure Key Vault.

Diagrama KMS

Observação

O cliente não consegue acessar a chave mestra do cliente

Ao usar o KMS anterior, sua aplicação habilitada para CSFLE não tem acesso à sua chave mestra do cliente.

Objeto kmsProviders

A tabela a seguir mostra a estrutura de um objeto de Realm kmsProviders para o Azure Key Vault:

Campo
Obrigatório
Descrição
azure.tenantId
Sim
Identifica a organização da conta.
azure.clientId
Sim
Identifica o clientId para autenticar seu aplicativo registrado.
azure.clientSecret
Sim
Usado para autenticar seu aplicativo registrado.
azure.identityPlatformEndpoint
No
Especifica um nome de host e número de porta para o servidor de autenticação. O padrão é login.microsoftonline.com e é necessário apenas para instâncias não comerciais do Azure, como uma conta do governo ou da China.

Objeto de Realm DataKeyOpts

A tabela a seguir mostra a estrutura de um objeto de Realm dataKeyOpts para o Azure Key Vault:

Campo
Obrigatório
Descrição
keyName
Sim
Nome da chave mestre
keyVersion
No
Versão da chave mestre
Ponto final do KeyVault
Sim
URL do cofre de chaves. Por exemplo, myVaultName.vault.azure.net

KMS do Google Cloud Platform

Esta seção fornece informações relacionadas ao uso do Google Cloud Key Management em seu aplicativo habilitado para CSFLE.

Para exibir um tutorial demonstrando como usar o GCP KMS em seu aplicativo habilitado para CSFLE, consulte Usar criptografia automática de nível de campo do lado do cliente com GCP.

Arquitetura

O diagrama a seguir descreve a arquitetura de um aplicativo habilitado para CSFLE usando o GCP KMS.

Diagrama KMS

Observação

O cliente não consegue acessar a chave mestra do cliente

Ao usar o KMS anterior, sua aplicação habilitada para CSFLE não tem acesso à sua chave mestra do cliente.

Objeto kmsProviders

A tabela a seguir mostra a estrutura de um objeto de Realm kmsProviders para a Google Cloud Platform Key Management Service (GCP KMS):

Campo
Obrigatório
Descrição
Email
Sim
Identifica o endereço de e-mail da sua conta de serviço.
chave privada
Sim
Identifies your service account private key in either base64 string or Binary subtype 0 format without the prefix and suffix markers.

Suppose your service account private key value is as follows:
-----BEGIN PRIVATE KEY-----\nyour-private-key\n-----END PRIVATE KEY-----\n
The value you would specify for this field is:
your-private-key
If you have a user-key.json credential file, you can extract the string by executing the following command in a bash or similar shell:
cat user-key.json | jq -r .private_key | openssl pkcs8 -topk8 -nocrypt -inform PEM -outform DER | base64 -w 0
endpoint
No
Especifica um nome de host e número de porta para o servidor de autenticação. O padrão é oauth2.googleapis.com.

Objeto de Realm DataKeyOpts

A tabela a seguir mostra a estrutura de um objeto de Realm dataKeyOpts para a Google Cloud Platform Key Management Service (GCP KMS):

Campo
Obrigatório
Descrição
projectId
Sim
Identificador do seu projeto no qual você criou a chave.
localização
Sim
Região especificada para sua chave.
chaveiro
Sim
Identificador do grupo de chaves ao qual sua chave pertence.
keyName
Sim
Identificador para a chave mestre simétrica.
keyVersion
No
Especifica a versão da chave nomeada. Se não for especificada, a versão padrão da chave será usada.
endpoint
No
Especifica o host e a porta opcional do Cloud KMS. O padrão é cloudkms.googleapis.com.

KMIP

Esta seção fornece informações relacionadas ao uso de um KMIP provedor de KMS compatível em seu aplicativo habilitado para CSFLE.

Para ver um tutorial que demonstra como usar um provedor de serviços de gerenciamento de chaves compatível com KMIP em seu aplicativo habilitado para CSFLE, consulte Usar criptografia automática em nível de campo do lado do cliente com KMIP.

Arquitetura

O diagrama a seguir descreve a arquitetura de um aplicativo habilitado para CSFLE usando um provedor de chave compatível com KMIP.

Diagrama

Importante

O cliente acessa a chave mestre do cliente

Quando o aplicativo habilitado para CSFLE usa um provedor de chaves compatível com KMIP, o aplicativo acessa diretamente a chave mestra do cliente.

Objeto kmsProviders

A tabela a seguir apresenta a estrutura de um objeto kmsProviders para um provedor de chaves compatível com KMIP:

Observação

Autenticar por TLS/SSL

Seu aplicativo habilitado para CSFLE autentica por TLS/SSL ao usar KMIP.

Campo
Obrigatório
Descrição
endpoint
Sim
Especifica um nome de host e número de porta para o servidor de autenticação.

Objeto de Realm DataKeyOpts

A tabela a seguir apresenta a estrutura de um objeto dataKeyOpts para um Serviço de gerenciamento de chaves compatível com KMIP:

Campo
Obrigatório
Descrição
keyId
No

O keyId campo de um 96 objeto gerenciado de dados secretos de bytes armazenados em seu provedor de chaves compatível com KMIP .

Se você não especificar o campo keyId no documento masterKey que enviar ao provedor de chaves compatível com KMIP, o driver criará um novo objeto gerenciado de dados secretos de 96 bytes no provedor de chaves compatível com KMIPpara atuar como sua chave mestra.

endpoint
Sim
O URI do seu provedor de chave compatível com KMIP.

Provedor de chaves local

Esta seção fornece informações relacionadas ao uso de um provedor de chaves locais (seu sistema de arquivos) em seu aplicativo habilitado para CSFLE.

Aviso

Não use o provedor de chave local na produção

O provedor de chaves locais é um método inseguro de armazenamento e não é recomendado para produção. Em vez disso, você deve armazenar as chaves mestras do cliente em um sistema de gerenciamento de chaves remoto (KMS).

Para saber como usar um KMS remoto na implementação do CSFLE, consulte o guia Tutoriais.

Para visualizar um tutorial que demonstra como usar um provedor de chave local para testar a criptografia em nível de campo do lado do cliente, consulte Início rápido.

Arquitetura

Quando você usa um provedor de chaves locais em seu aplicativo habilitado para CSFLE, seu aplicativo recupera sua chave mestre de cliente do sistema de arquivos do computador no qual seu aplicativo está sendo executado.

O diagrama a seguir descreve a arquitetura de um aplicativo habilitado para CSFLE usando um provedor de chave local.

Diagrama de arquitetura do provedor de chave local.

Objeto kmsProviders

A tabela a seguir apresenta a estrutura de um objeto kmsProviders para um provedor de chaves local:

Campo
Obrigatório
Descrição
chave
Sim
A chave mestre usada para criptografar/descriptografar chaves de dados. A chave mestre é passada como uma string codificada base64.

Objeto de Realm DataKeyOpts

Ao usar um provedor de chave local, você especifica a chave mestra do cliente por meio do objeto kmsProviders.

Voltar

MongoClientOptions

Próximo

Componentes