mongocryptd
Tip
自動暗号化共有ライブラリの使用
新しいプロジェクトを開始する場合は、自動暗号化共有ライブラリと呼ばれるcrypt_shared暗号化ヘルパーを使用します。 自動暗号化共有ライブラリはmongocryptdを置き換え、新しい プロセスを生成する必要はありません。
注意
エンタープライズ機能
フィールドレベル暗号化の自動機能は、MongoDB Enterprise 4.2 以降と MongoDB Atlas 4.2 以降のクラスターでのみ使用できます。
mongocryptd は、 MongoDB Enterprise Serverパッケージのコンポーネントとして、または個別にmongodb-enterprise-cryptdパッケージとして含まれています。 mongocryptdは次の処理を実行します。
データベース接続に指定された自動暗号化ルールを解析します。 自動暗号化ルールは、JSON schema 構文の厳密なサブセットを使用します。 自動暗号化ルールに無効な自動暗号化構文または
document validation構文が含まれている場合、mongocryptdはエラーを返します。指定された自動暗号化ルールを使用して、暗号化の読み取り操作および書込み (write) 操作のフィールドをマークします。
暗号化されたフィールドに適用すると、予期しない結果または誤った結果が返される可能性がある読み取り/書き込み操作を拒否します。 詳細については、「自動フィールドレベル暗号化による読み取り/書込みのサポート」を参照してください。
mongocryptd は、上記の機能のみを担当し、以下のいずれも実行しません。
mongocryptd自体は暗号化や復号化を実行しないmongocryptd暗号化のキー リソースにはアクセスしません。mongocryptdはネットワーク経由でリッスンしません
MongoDB4.2 以降と互換性のあるドライバーは、クライアント側のフィールドレベルの暗号化と自動復号化を実行するために、Apache でライセンスされた libmongocrypt ライブラリを使用します。
公式 MongoDB 4.2 + 互換ドライバー、 mongosh 、および4.2以降のレガシーmongo shell は、クライアント ホスト マシン上のmongocryptdプロセスにアクセスする必要があります。 これらのクライアントは、デフォルトでシステム パス内のmongocryptdプロセスを検索します。 mongocryptdのインストールに関する詳細なドキュメントについては、「 インストール 」を参照してください。
使用法
4.2 以降と互換性のあるドライバーがmongocryptdプロセスにアクセスできる場合、デフォルトではドライバーはmongocryptdプロセスの生成を管理します。 4.2 以降の互換性ドライバーには、 へのパスまたはmongocryptdプロセスの生成動作を指定するための追加オプションがある場合があります。
可能であれば、 mongocryptdをオンデマンドで起動するのではなく、起動時に起動することをおすすめします。
インストール
サポートされているLinux オペレーティング システムの場合は、ドキュメント化されたインストール手順に従い、 mongodb-enterpriseサーバー パッケージをインストールします。 または、代わりにmongodb-enterprise-cryptdを指定して、 mongocryptdバイナリのみをインストールします。 パッケージ マネージャーはバイナリをシステム パス内のロケーション(例: /usr/bin/ )
OSX の場合は、サーバー パッケージをインストールします。 パッケージ マネージャーは、システム パス内のロケーションにバイナリをインストールします。
Windows の場合は、サーバー パッケージをインストールします。 インストール後に、 mongocryptdパッケージをシステム パスに追加する必要があります。 mongocryptdバイナリをシステム パスに追加する手順については、Windows インストールのドキュメント化されたベストプラクティスを参照してください。
公式の tarball または ZIP アーカイブを使用したインストールの場合は、オペレーティング システムのドキュメント化されたベストプラクティスに従って、 mongocryptdバイナリをシステム パスに追加します。