Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Fundamentals
Docs Home
/ /
Queryable Encryption
/
Fundamentals
Docs Home
/
Desarrollo
/
Encriptación en uso
/
Queryable Encryption
/
Fundamentals

Rota y reenvuelve llaves de cifrado

En esta guía, puede aprender a administrar sus claves de cifrado con un sistema de administración de claves (KMS) en tu aplicación.

Overview

Este procedimiento le indica cómo rotar las claves de cifrado para Queryable Encryption usando mongosh. Rotar las DEK consiste en reenvolverlas con una nueva Clave maestra del cliente, por lo que los términos "rotar" y "reenvolver" a veces se utilizan indistintamente.

Después de completar esta guía, debería poder rotar su clave maestra de cliente(CMK) en su sistema de administración de claves y luego volver a envolver las DEK existentes en su colección Key Vault con su nueva CMK.

Advertencia

Al rotar las claves, confirme que no se utilicen para cifrar ninguna clave ni dato antes de eliminarlas. Si elimina una DEK, todos los campos cifrados con ella quedarán permanentemente ilegibles. Si elimina una CMK, todos los campos cifrados con una DEK que la utilice quedarán permanentemente ilegibles.

Información relacionada

Para una explicación detallada de los conceptos incluidos en este procedimiento, consulta los temas a continuación.

Para obtener más información sobre claves y bóvedas de claves, consulte Claves de cifrado y bóvedas de claves. Para ver una lista de proveedores de KMS admitidos, consulta la página Proveedores de KMS.

Para obtener tutoriales que detallan cómo configurar una aplicación habilitada para Queryable Encryption con cada uno de los KMS proveedores admitidos, consulte Visión general: habilitación de cifrado consultable.

Procedimiento

1

Rota tu clave maestra de cliente en tu sistema de gestión de claves

El proceso para rotar la llave maestra de cliente depende del proveedor de KMS. Para más detalles, consulte la documentación de su proveedor de claves:

Una vez que se rota la llave maestra de cliente, MongoDB la utiliza para proteger todas las nuevas DEK. Para volver a envolver las DEK existentes, continúa con los siguientes pasos.

2

Gira tus claves de cifrado de datos usando KeyVault.rewrapManyDataKey()

El método KeyVault.rewrapManyDataKey() descifra automáticamente varias claves de cifrado de datos y las vuelve a cifrar utilizando la llave maestra de cliente especificada. Luego, actualiza las claves en la Colección de Bóvedas de Llaves.

El método tiene la siguiente sintaxis:

let keyVault = db.getMongo().getKeyVault()
keyVault.rewrapManyDataKey(
   {
      "<Query filter document>"
   },
   {
      provider: "<KMS provider>",
      masterKey: {
         "<dataKeyOpts Key>" : "<dataKeyOpts Value>"
      }
   }
)

  1. Especifica un documento de filtro de query para seleccionar las claves a rotar, u omite el argumento para rotar todas las claves en la Colección de Bóvedas de Llaves

    Si especificas un documento de filtro de query, pero ninguna clave coincide, entonces no se rotan claves.

  2. Especifica el proveedor de KMS

  3. Especifica el masterKey utilizando la nueva llave maestra de cliente, u omite el argumento para rotar las claves utilizando su actual llave maestra de cliente

Sus DEK se mantienen intactas tras reempaquetarlas con la nueva CMK. El proceso de rotación de claves es fluido y no interrumpe su aplicación.

Volver

Cifrado explícito

Next

Tutorials

En esta página