显式加密
Overview
显式加密提供了对安全性的细粒度控制,但代价是在配置集合和为 MongoDB 驱动程序编写代码时增加了复杂性。 通过显式加密,您可以为对数据库执行的每个操作指定如何加密文档中的字段,并在整个应用程序中包含此逻辑。
以下 MongoDB 产品提供显式加密:
MongoDB 社区服务器
MongoDB Enterprise Advanced
MongoDB Atlas
使用显式加密
创建 ClientEncryption 实例
ClientEncryption 是跨驱动程序和 mongosh使用的抽象,用于封装显式加密中涉及的 Key Vault 集合和 KMS操作。
要创建ClientEncryption实例,请指定:
配置为能够访问托管客户主密钥的 KMS 提供程序的
kmsProviders对象密钥保管库集合的命名空间
如果您使用 MongoDB Community Server,请将
bypassQueryAnalysis选项设置为True可以访问您的密钥保管库集合的
MongoClient实例
有关更多ClientEncryption选项,请参阅适用于 Queryable Encryption 的 MongoClient 选项。
加密读写操作中的字段
您必须在整个应用程序中更新读写操作,使应用程序在执行读写操作前对字段进行加密。
要加密字段,请使用ClientEncryption实例的encrypt方法。 指定以下内容:
要加密的值
使用的算法,
Indexed或Unindexed数据加密密钥的 ID
争用因子(如果您使用的是
Indexed算法)如果执行读取操作,请设置为字段定义的查询类型(如果使用
Indexed算法)
算法选择
如果在字段上指定queryType ,请使用Indexed算法。
Indexed 支持相等查询。 Indexed字段需要在服务器上建立索引。 通过在 db.createCollection() 中指定encryptedFields选项来创建索引
自动解密
要自动解密字段,请按如下方式配置MongoClient实例:
指定
kmsProviders对象指定密钥保管库集合
如果您使用 MongoDB Community Server,请将
bypassQueryAnalysis选项设置为True
注意
MongoDB Community 服务器中的自动解密
MongoDB Community 服务器提供自动解密功能。自动加密需要 MongoDB Enterprise 或 MongoDB Atlas。
服务器端字段级加密实施
对集合中的特定字段实施加密的步骤。
Indexed 字段需要在服务器上有索引。 通过在db.createCollection()中指定encryptedFields选项来创建索引。
如果您的 MongoDB 实例强制执行特定字段的加密,则任何使用显式加密执行 Queryable Encryption 的客户端都必须按指定方式对这些字段进行加密。要了解如何设置服务器端可查询加密实施,请参阅加密字段和查询。
了解详情
要了解有关密钥保管库集合、数据加密密钥和客户主密钥的更多信息,请参阅加密密钥和密钥保管库。
要了解有关KMS提供程序和kmsProviders对象的更多信息,请参阅KMS 提供程序。