/ /

/ /

Crear un esquema de cifrado

Las consultas de igualdad y rango de Queryable Encryption cuentan con soporte completo en producción. Las queries de prefijo, sufijo y subcadena sólo están disponibles en vista previa pública en MongoDB 8.2. No habilite estos tipos de query en producción. La funcionalidad GA de los tipos de consultas de prefijo, sufijo y subcadena será incompatible con la funcionalidad de vista previa. Para aprender más, consulta Tipos de consulta admitidos.

Acerca de esta tarea

Para que los campos cifrados sean consultables, cree un Esquema de cifrado. Este esquema define qué campos se pueden consultar y qué tipos de consultas están permitidos. Para obtener más información, consulta Campos cifrados y consultas habilitadas.

Importante

Queryable Encryption admite queries de igualdad y de rango. Solo puedes configurar un campo para un tipo de query.

Antes de comenzar

Cuando hagas que los campos cifrados sean consultables, considera el rendimiento y la seguridad. Para obtener detalles sobre cómo cada opción de configuración afecta a estos, consulta Configura los campos cifrados para una búsqueda y almacenamiento óptimos.

Para utilizar los prefijos, sufijos o consultas de query de Public Preview con mongosh, debe descargar por separado la biblioteca compartida de cifrado automático 8.2 o superior, luego especificar la ruta de la biblioteca a mongosh usando la opción --cryptSharedLibPath.

Referencia de campo

Puedes configurar el cifrado para cada campo en el arreglo fields de tu encryptedFieldsObject. La siguiente tabla describe los subcampos disponibles:

Campo	Tipo	Descripción
`path`	String	Obligatorio. La ruta en notación de puntos al campo `"patientInfo.ssn"` `_id` que se va a cifrar, por ejemplo. Puede especificar cualquier campo excepto el campo.
`bsonType`	String	Obligatorio. El tipo BSON del campo que se va cifrar. Para obtener una lista completa de los tipos admitidos, consulte BSON types admitidos y no admitidos.
`keyId`	UUID	Opcional. El UUID del DEK a utilizar para encriptar este campo. El UUID es un BSON datos binarios elemento del subtipo `4`. Los ID de clave deben ser únicos. Especificar un `keyId` que ya está en uso devuelve un error. Si se omite, puedes utilizar el método asistente `createEncryptedCollection()` para crear claves automáticamente.
`queries`	Objeto	opcional. Permite consultas sobre este campo cifrado. Si se omite, el campo se cifra pero no se puede consultar. Para obtener más información sobre las opciones de query, consulta Configura campos cifrados para una búsqueda y almacenamiento óptimos.

Pasos

Crear el esquema de cifrado.

Incluye un encryptedFieldsObject con un fields arreglo:

const encryptedFieldsObject = {
   fields: []
}

Especifica los campos a cifrar.

Agregue las cadenas path y bsonType a un documento dentro del arreglo de campos:

const encryptedFieldsObject = {
   fields: [
      {
         path: "myDocumentField",
         bsonType: "int"
      }
   ]
}

Importante

Puedes especificar cualquier campo para el cifrado excepto el campo _id.

Opcionalmente, establece un campo keyId con el ID DEK.
Importante
Los ID de clave deben ser únicos, de lo contrario, el servidor devuelve un error.
Al configurar AutoEncryptionSettings en el cliente, puedes utilizar el método asistente createEncryptedCollection para crear claves automáticamente.
```
{
   path: "myDocumentField",
   bsonType: "int",
   keyId: "<unique data encryption key>"
}
```

Habilitar consultas de igualdad en los campos deseados.

Esto permite realizar consultas con los $eq $ne$inoperadores,,$nin y.

Agregue el objeto queries y establezca queryType en "equality":

{
   path: "myDocumentField",
   bsonType: "int",
   queries: { queryType: "equality" }
}

Habilitar consultas de rango en los campos deseados.

Esto permite realizar consultas con los $lt $lte$gtoperadores,,$gte y.

Para obtener detalles sobre cómo las siguientes opciones afectan la seguridad y el rendimiento, consulte Configurar campos cifrados para una búsqueda y almacenamiento óptimos.

Agregue el objeto queries y establezca queryType en "range":
```
{
   path: "myDocumentRangeField",
   bsonType: "int",
   queries: { queryType: "range" }
}
```

Configura los siguientes campos:

Campo	Tipo	Descripción
mín. y máx.	Igual que campo `bsonType`	Obligatorio si `bsonType` es `decimal` o `double`. Opcional pero muy recomendable si es `int`, `long` o `date`. Por defecto, se establecen en los valores mínimos y máximos del `bsonType`. Cuando sea posible, especificar límites en una query mejora el rendimiento. Si consulta valores fuera de estos límites inclusivos, MongoDB devuelve un error.

{
   path: "myDocumentRangeField",
   bsonType: "int",
   queries: { queryType: "range",
              min: 0,
              max: 1200
   }
}

Activa las consultas de prefijos, sufijos o subcadenas en los campos deseados.

Estos tipos de consulta son solo para los campos string. Puede habilitar prefixPreview y suffixPreview en el mismo campo, pero no podrá habilitar ninguno si usa substringPreview.

Advertencia

Las consultas de prefijos, sufijos y subcadenas están en vista previa pública

Las búsquedas por prefijo, sufijo y subcadena de Queryable Encryption ya están disponibles en la vista previa pública en MongoDB 8.2. No habilite estos tipos de query en producción. La funcionalidad de la vista previa pública será incompatible con la funcionalidad GA, y deberá descartar cualquier colección que permita estas queries.

prefixPreview las consultas habilitan las expresiones de agregación de $encStrStartsWith y $encStrNormalizedEq.
suffixPreview las consultas habilitan las expresiones de agregación de $encStrEndsWith y $encStrNormalizedEq.
substringPreview las consultas habilitan las expresiones de agregación de $encStrContains y $encStrNormalizedEq.

Agrega el objeto queries y define queryType como "prefixPreview", "suffixPreview" o "substringPreview":
```
{
   path: "myDocumentStringField",
   bsonType: "string",
   queries: { queryType: "substringPreview" }
}
```

Configura los siguientes campos.

Para obtener detalles sobre cómo afectan la seguridad y el rendimiento, consulta Configurar campos cifrados para búsqueda y almacenamiento óptimos.

Campo	Tipo	Descripción
`strMaxLength`	entero	`substringPreview` solo queries. La longitud máxima permitida para un campo indexado por subcadena.
`strMinQueryLength`	entero	La longitud mínima permitida de prefijo/sufijo/subcadena para query.
`strMaxQueryLength`	entero	La longitud máxima permitida de prefijo/sufijo/subcadena para query. IMPORTANTE: Este ajuste tiene un gran impacto en el rendimiento de las query. Limítalo siempre que sea posible.
`caseSensitive`	Booleano	opcional. Si las consultas distinguen entre mayúsculas y minúsculas. Por defecto `true`.
`diacriticSensitive`	Booleano	opcional. Si las búsquedas son sensibles a los signos diacríticos. Por defecto `true`.

{
   path: "myDocumentStringField",
   bsonType: "string",
   queries: {
      "queryType": "substringPreview",
      "strMaxLength": 30,
      "strMinQueryLength": 1,
      "strMaxQueryLength": 20,
      "caseSensitive": false
   }
}

Ejemplo

Este ejemplo muestra cómo crear un esquema de cifrado para datos hospitalarios.

Considere el siguiente documento que contiene información de identificación personal (PII), información de tarjetas de crédito e información médica confidencial:

{
   "firstName": "Jon",
   "lastName": "Snow",
   "patientId": 12345187,
   "address": "123 Cherry Ave",
   "medications": [
      "Adderall",
      "Lipitor"
   ],
   "patientInfo": {
      "ssn": "921-12-1234",
      "billing": {
            "type": "visa",
            "number": "1234-1234-1234-1234"
      }
   }
}

Para garantizar que la información médica confidencial y los datos personales identificables permanezcan seguros, este esquema de cifrado añade los campos relevantes:

const encryptedFieldsObject = {
   fields: [
      {
         path: "patientId",
         bsonType: "int"
      },
      {
         path: "patientInfo.ssn",
         bsonType: "string"
      },
      {
         path: "medications",
         bsonType: "array"
      },
      {
         path: "patientInfo.billing",
         bsonType: "object"
      }
   ]
}

Añadir la propiedad queries hace que los campos patientId y patientInfo.ssn sean consultables. Este ejemplo permite consultas de igualdad:

const encryptedFieldsObject = {
   fields: [
      {
         path: "patientId",
         bsonType: "int",
         queries: { queryType: "equality" }
      },
      {
         path: "patientInfo.ssn",
         bsonType: "string",
         queries: { queryType: "equality" }
      },
      {
         path: "medications",
         bsonType: "array"
      },
      {
         path: "patientInfo.billing",
         bsonType: "object"
      },
   ]
}

Volver

Campos y query

Cifrar colecciones al crearlas