/ /

Queryable Encryption

Fundamentals

Docs Home

Manual de base de datos

Proveedores de KMS

La Queryable Encryption con consultas de igualdad está disponible de manera general (GA) en MongoDB 7.0. Para usar Queryable Encryption, actualice MongoDB a la versión 7.0 con controladores compatibles. La versión preliminar pública de Queryable Encryption lanzada con MongoDB 6.0 ya no está soportada y no es compatible con la funcionalidad GA. Para obtener más información, consulta Notas de compatibilidad de MongoDB 7.0 .

Esta versión de la documentación está archivada y ya no recibe soporte. Para actualizar su implementación de 6.0, consulte los procedimientos de actualización de MongoDB 7.0 .

Overview

Obtenga información sobre los proveedores de servicios de administración de claves que admite Queryable Encryption.

Un Key Management Service es un sistema de gestión de claves proporcionado como servicio.

Key Management Service Tareas

En Queryable Encryption, tu Key Management Service:

Crea y cifra la clave maestra del cliente
Cifra las claves de cifrado de datos creadas por su aplicación
Descifra las llaves de cifrado de datos

Para obtener más información sobre las llaves maestras de cliente y las llaves de cifrado de datos, consulta Claves y almacenes de claves.

Crea y almacena tu llave maestra de cliente

Para crear una Clave Maestra de Cliente, configura el proveedor de Key Management Service para generar tu Clave Maestra de Cliente de la siguiente manera:

Para ver un tutorial que demuestra cómo crear y almacenar un CMK en su servicio de administración de claves preferido, consulte Tutoriales.

Crear y cifrar una clave de cifrado de datos

Para crear una clave de cifrado de datos:

Crear una instancia ClientEncryption instancia en su aplicación que tiene Queryable Encryption habilitado:
- Proporcione un objeto kmsProviders que especifique las credenciales que utiliza su aplicación habilitada para Queryable Encryption para autenticarse con su KMS.
Cree una llave de cifrado de datos con el método CreateDataKey del objeto ClientEncryption en su aplicación habilitada para Queryable Encryption.
- Proporcione un dataKeyOpts objeto que especifique con qué clave su KMS debe cifrar su nueva clave de cifrado de datos.

Para ver un tutorial que muestra cómo crear y cifrar una clave de cifrado de datos, consulta los siguientes recursos:

Para ver la estructura de los objetos kmsProviders y dataKeyOpts para todos los proveedores de KMS compatibles, consulta Servicios de gestión de claves compatibles.

Servicios de gestión de claves compatibles

Las siguientes secciones de esta página presentan la siguiente información para todos los proveedores del Key Management Service:

Arquitectura de cliente habilitado para cifrado consultable
Estructura de objetos kmsProviders
Estructura de objetos dataKeyOpts

Queryable Encryption es compatible con los siguientes Key Management Service proveedores:

Amazon Web Services KMS
Azure Key Vault
Google Cloud Platform KMS
KMIP
Proveedor de claves local

Amazon Web Services KMS

Esta sección proporciona información relacionada con el uso del servicio de administración de claves de AWS en su aplicación habilitada para cifrado consultable.

Para ver un tutorial que demuestre cómo utilizar AWS KMS en tu aplicación habilitada para Queryable Encryption, consulta Usar Queryable Encryption automático con AWS.

Arquitectura

El siguiente diagrama describe la arquitectura de una aplicación habilitada con Queryable Encryption utilizando AWS KMS.

Nota

El cliente no puede acceder a la llave maestra de cliente

Al usar el precedente Key Management Service, tu aplicación habilitada para Queryable Encryption no tiene acceso a tu llave maestra de cliente.

Objeto kmsProviders

La siguiente tabla presenta la estructura de un objeto kmsProviders para AWS KMS:

Campo	Obligatorio para el usuario de IAM	Requerido para el rol de IAM	Descripción
ID de clave de acceso	Sí	Sí	Identifica al usuario de la cuenta.
Tecla de acceso secreto	Sí	Sí	Contiene las credenciales de autenticación del usuario de la cuenta.
Session Token	No	Sí	Contiene un token obtenido del Servicio de token de seguridad de AWS (AWS STS).

Objeto dataKeyOpts

La siguiente tabla presenta la estructura de un objeto dataKeyOpts para AWS KMS:

Campo	Requerido	Descripción
llave	Sí	Número de recurso de Amazon (ARN) de la clave maestra.
region	No	Región de AWS de tu clave maestra, p. ej. "us-west-2"; requeridos solo si no se especifican en tu ARN.
endpoint	No	Nombre de host personalizado para el endpoint de AWS si está configurado para su cuenta.

Azure Key Vault

Esta sección proporciona información relacionada con el uso de Azure Key Vault en su aplicación con Queryable Encryption habilitada.

Para ver un tutorial que demuestra cómo usar Azure Key Vault en su aplicación habilitada para cifrado consultable, consulte Usar cifrado consultable automático con Azure.

Arquitectura

El siguiente diagrama describe la arquitectura de una aplicación habilitada para Queryable Encryption que usa Azure Key Vault.

Nota

El cliente no puede acceder a la llave maestra de cliente

Al usar el precedente Key Management Service, tu aplicación habilitada para Queryable Encryption no tiene acceso a tu llave maestra de cliente.

Objeto kmsProviders

La siguiente tabla presenta la estructura de un objeto kmsProviders para Azure Key Vault:

Campo	Requerido	Descripción
azure.tenantId	Sí	Identifica la organización de la cuenta.
azure.clientId	Sí	Identifica el clientId para autenticar tu aplicación registrada.
azure.clientSecret	Sí	Se utiliza para autenticar su aplicación registrada.
Punto final de la plataforma de identidad de Azure	No	Especifica un nombre de host y un número de puerto para el servidor de autenticación. De forma predeterminada, se utiliza login.microsoftonline.com y solo es necesario para instancias de Azure no comerciales, como cuentas gubernamentales o de China.

Objeto dataKeyOpts

La siguiente tabla presenta la estructura de un objeto dataKeyOpts para Azure Key Vault:

Campo	Requerido	Descripción
keyName	Sí	Nombre de la llave maestra
versión de la clave	No	Versión de la llave maestra
keyVaultEndpoint	Sí	URL de la bóveda de claves. P. ej. myVaultName.vault.azure.net

Google Cloud Platform KMS

Esta sección proporciona información relacionada con el uso de Google Cloud Key Management en su aplicación habilitada para cifrado consultable.

Para ver un tutorial que demuestra cómo usar GCP KMS en tu aplicación con Queryable Encryption habilitado, consulta Usar Queryable Encryption automático con GCP.

Arquitectura

El siguiente diagrama describe la arquitectura de una aplicación habilitada para Queryable Encryption utilizando GCP KMS.

Nota

El cliente no puede acceder a la llave maestra de cliente

Al usar el precedente Key Management Service, tu aplicación habilitada para Queryable Encryption no tiene acceso a tu llave maestra de cliente.

Objeto kmsProviders

La siguiente tabla presenta la estructura de un objeto kmsProviders para GCP KMS:

Campo

Requerido

Descripción

correo electrónico

Sí

Identifica la dirección de correo electrónico de tu cuenta de servicio.

clave privada

Sí

Identifies your service account private key in either
base64 string or
Binary subtype 0
format without the prefix and suffix markers.

Suppose your service account private key value is as follows:

-----BEGIN PRIVATE KEY-----\nyour-private-key\n-----END PRIVATE KEY-----\n

The value you would specify for this field is:

your-private-key

If you have a user-key.json credential file, you can extract the string by executing the following command in a bash or similar shell:

cat user-key.json | jq -r .private_key | openssl pkcs8 -topk8 -nocrypt -inform PEM -outform DER | base64 -w 0

endpoint

Especifica un nombre de host y un número de puerto para el servidor de autenticación. Por defecto es oauth2.googleapis.com.

Objeto dataKeyOpts

La siguiente tabla presenta la estructura de un objeto dataKeyOpts para GCP KMS:

Campo	Requerido	Descripción
ID del proyecto	Sí	Identificador para tu proyecto en el que creaste la clave.
ubicación	Sí	Región especificada para tu clave.
keyRing	Sí	Identificador del grupo de claves al que pertenece su clave.
keyName	Sí	Identificador de la clave maestra simétrica.
versión de la clave	No	Especifica la versión de la clave nombrada. Si no se especifica, se utiliza la versión por defecto de la clave.
endpoint	No	Especifica el host y el puerto opcional de nube KMS. El valor por defecto es `cloudkms.googleapis.com`.

KMIP

Esta sección proporciona información relacionada con el uso de un KMIP compatible Key Management Service provider en su aplicación con Queryable Encryption.

Arquitectura

El siguiente diagrama describe la arquitectura de una aplicación con Queryable Encryption habilitada que utiliza un proveedor de claves compatible con KMIP.

Importante

El cliente Accede a la llave maestra de cliente

Cuando tu aplicación con Queryable Encryption habilitado utiliza un proveedor de claves compatible con KMIP, tu aplicación accede directamente a tu llave maestra de cliente.

Objeto kmsProviders

La siguiente tabla presenta la estructura de un objeto kmsProviders para un Key Management Service compatible con KMIP:

Nota

Autentícate a través de TLS/SSL

Tu aplicación habilitada con Queryable Encryption se autentica a través de TLS/SSL al usar KMIP.

Campo	Requerido	Descripción
endpoint	Sí	Especifica un nombre de host y un número de puerto para el servidor de autenticación.

Objeto dataKeyOpts

La siguiente tabla presenta la estructura de un objeto dataKeyOpts para un Key Management Service compatible con KMIP:

Campo	Requerido	Descripción
keyId	No	El `keyId` campo de un 96 objeto administrado de datos secretos de bytes almacenado en su proveedor de claves compatible con KMIP. Si no se especifica el campo `keyId` en el documento `masterKey` que se envía al proveedor de claves compatible con KMIP, el driver creará un nuevo objeto gestionado de datos secretos de 96 bytes en su proveedor de claves compatible con KMIPpara que actúe como su clave maestra.
endpoint	Sí	El URI de su proveedor de claves compatible con KMIP.

Proveedor de claves local

Esta sección proporciona información relacionada con el uso de un Proveedor de llave local (su sistema de archivos) en su aplicación habilitada para Queryable Encryption.

Advertencia

No uses un archivo de claves local en producción

Un archivo de clave local en tu sistema de archivos es poco seguro y no se recomienda para producción. En su lugar, debe almacenar sus claves maestras de clientes en un Sistema de gestión de claves remoto (KMS).

Para aprender cómo usar un KMS remoto en su implementación de Queryable Encryption, consulte la guía de tutoriales.

Para ver un tutorial que demuestre cómo utilizar un Proveedor de claves local para probar Queryable Encryption, consulta Inicio rápido.

Arquitectura

Cuando usas un proveedor de clave local, tu aplicación recupera tu clave maestra de cliente del sistema de archivos del equipo en el que se ejecuta. El siguiente diagrama describe la arquitectura de una aplicación habilitada para cifrado consultable usando un proveedor de claves local.

Objeto kmsProviders

La siguiente tabla presenta la estructura de un objeto kmsProviders para un proveedor de claves local:

Campo	Requerido	Descripción
llave	Sí	La clave maestra utilizada para cifrar/descifrar claves de datos. Se transmite como una cadena codificada en base64.

Objeto dataKeyOpts

Cuando usas un Proveedor de Clave Local, especificas tu llave maestra de cliente a través de tu objeto kmsProviders.

Volver

Claves y bóvedas de claves

Administrador de claves