Overview
Aprenda a utilizar el mecanismo de encriptación explícita de Queryable Encryption.
El cifrado explícito es un mecanismo en el que se especifica cómo se desea cifrar y descifrar los campos en el documento durante cada operación que se realice en la base de datos.
El cifrado explícito está disponible en los siguientes productos de MongoDB utilizando la versión 6.0 o posterior:
MongoDB Community Server
MongoDB Enterprise Advanced
MongoDB Atlas
Usa cifrado explícito
Las siguientes secciones proporcionan una visión general del uso de cifrado explícito en tu aplicación habilitada para Queryable Encryption:
Crea una instancia de ClientEncryption
ClientEncryption es una abstracción utilizada en varios drivers y mongosh que encapsula la Colección de Bóvedas de Llaves y KMS operaciones involucradas en el cifrado explícito.
Para crear una instancia ClientEncryption, especifique:
Un objeto
kmsProvidersconfigurado con acceso a KMS que aloja su clave maestra del clienteEl espacio de nombres de tu Colección de Bóvedas de Llaves
Si utiliza MongoDB Community Server, configure la opción
bypassQueryAnalysisenTrueUna
MongoClientinstancia con acceso a tu Colección de Bóvedas de Llaves
Para más opciones ClientEncryption, consulte Opciones de MongoClient para Queryable Encryption.
Nota
Los ejemplos de código no están disponibles actualmente, pero estarán disponibles próximamente.
Cifrar campos en operaciones de lectura y escritura
Debe actualizar las operaciones de lectura y guardado en toda su aplicación para que esta cifre los campos antes de realizar operaciones de lectura y guardado.
Para cifrar campos, utiliza el método encrypt de tu instancia de ClientEncryption. Especifica lo siguiente:
El valor a cifrar
El algoritmo utilizado, ya sea
IndexedoUnindexedEl ID de la clave de cifrado de datos
El factor de contención (si está utilizando el algoritmo
Indexed)Si realiza una operación de lectura, configure el tipo de consulta definido para su campo (si está utilizando el algoritmo
Indexed)
Nota
Tipos de consulta
El tipo de query solo se aplica a las operaciones de lectura.
Para aprender más sobre los tipos de consultas, ver Tipos de consultas.
Elección de algoritmo
Utilice el algoritmo Indexed si especifica un queryType en el campo.
Indexed admite queries de igualdad. Los campos de Indexed requieren un índice en el servidor. El índice se crea especificando la opción encryptedFields en db.createCollection().
Descifrado automático
Para descifrar tus campos automáticamente, debes configurar tu instancia de MongoClient de la siguiente manera:
Especifica un objeto
kmsProvidersEspecifique su Colección de Bóvedas de Llaves
Si utiliza MongoDB Community Server, configure la opción
bypassQueryAnalysisenTrue
Nota
El descifrado automático está disponible en MongoDB Community Server
Aunque el cifrado automático requiere MongoDB Enterprise o MongoDB Atlas, el descifrado automático está disponible en los siguientes productos de MongoDB que utilizan la versión 6.0 o superior:
MongoDB Community Server
MongoDB Enterprise Advanced
MongoDB Atlas
Aplicación de cifrado a nivel de campo del lado del servidor
Especificar Campos para Cifrado para aplicar el cifrado de campos específicos en una colección.
Indexed Los campos requieren un índice en el servidor. El índice se crea especificando la encryptedFields opción db.createCollection() en.
Un cliente que realiza Queryable Encryption con el mecanismo de cifrado explícito en una instancia de MongoDB configurada para hacer cumplir el cifrado de ciertos campos debe cifrar esos campos según lo especificado en la instancia de MongoDB.
Para aprender a configurar la implementación de cifrado consultable del lado del servidor, consulte Cifrado de campo y capacidad de consulta.
Obtén más información
Para obtener más información sobre las Colecciones de Bóvedas de Llaves, las llaves de cifrado de datos y las llaves maestras de cliente, consulta Claves y Key Vaults.
Para obtener más información sobre los proveedores KMS y objeto{s kmsProviders, consulte Proveedores KMS.