문서 홈 → 애플리케이션 개발 → MongoDB 매뉴얼
명시적 암호화
이 페이지의 내용
개요
명시적 암호화는 MongoDB 드라이버에 대한 컬렉션을 구성하고 코드를 작성할 때 복잡성이 증가하는 대신 보안에 대한 세분화된 제어를 제공합니다. 명시적 암호화를 사용하면 데이터베이스에서 수행하는 각 작업에 대해 문서의 필드를 암호화하는 방법을 지정하고 이 로직을 애플리케이션 전체에 포함할 수 있습니다.
명시적 암호화는 다음 MongoDB 제품에서 사용할 수 있습니다.
MongoDB Community 서버
MongoDB Enterprise Advanced
MongoDB Atlas
명시적 암호화 사용
명시적 암호화를 사용하려면 CSFLE 지원 애플리케이션에서 다음 작업을 수행해야 합니다.
ClientEncryption 인스턴스 만들기
명시적 암호화를 사용하려면 ClientEncryption 인스턴스를 만들어야 합니다. ClientEncryption 는 드라이버와 mongosh 에서 사용되는 추상화로, 명시적 암호화와 관련된 키 볼트 컬렉션 및 KMS 작업을 캡슐화합니다.
ClientEncryption 인스턴스를 만들려면 다음 정보를 지정해야 합니다.
키 볼트 컬렉션에 액세스할 수 있는
MongoClient인스턴스키 볼트 컬렉션의 네임스페이스
고객 마스터 키를 호스팅하는 KMS 제공자에 대한 액세스 권한으로 구성된
kmsProviders객체
더 많은 ClientEncryption 옵션은 CSFLE용 MongoClient 옵션을 참조하세요.
ClientEncryption 인스턴스를 만드는 방법을 보여주는 코드 스니펫을 보려면 이 가이드의 예제 섹션을 참조하세요.
읽기 및 쓰기 작업에서 필드 암호화
읽기 및 쓰기 작업을 수행하기 전에 애플리케이션이 필드를 암호화하도록 애플리케이션 전체에서 읽기 및 쓰기 작업을 업데이트해야 합니다.
필드를 암호화하려면 ClientEncryption 인스턴스의 encrypt 메서드를 사용합니다.
encrypt 메서드 사용 방법을 보여주는 코드 스니펫을 보려면 이 가이드의 예제 섹션을 참조하세요.
수동 암호 해독
명시적 암호화를 사용하는 경우 암호화된 필드를 수동으로 또는 자동으로 해독할 수 있습니다.
필드를 수동으로 해독하려면 ClientEncryption 인스턴스의 decrypt 메서드를 사용하세요.
decrypt 메서드 사용 방법을 보여주는 코드 스니펫을 보려면 이 가이드의 예제 섹션을 참조하세요.
자동 암호 해독
필드를 자동으로 해독하려면 다음과 같이 MongoClient 인스턴스를 구성합니다.
키 볼트 컬렉션 지정
kmsProviders객체 지정MongoDB 커뮤니티 서버를 사용하는 경우
bypassAutoEncryption옵션을True로 설정합니다.
참고
MongoDB Community 서버에서 자동 암호화 기능 사용 가능
자동 암호화에는 MongoDB Enterprise 또는 MongoDB Atlas가 필요하지만 자동 암호 해독은 다음 버전 4.2 이상의 MongoDB 제품에서 사용할 수 있습니다.
MongoDB Community 서버
MongoDB Enterprise Advanced
MongoDB Atlas
자동 암호 해독을 활성화하는 방법을 보여주는 코드 스니펫을 보려면 원하는 언어에 해당하는 탭을 선택하세요.
예제
MongoDB 인스턴스에 다음 구조의 문서를 삽입한다고 가정합니다.
{ "name": "<name of person>", "age": <age of person>, "favorite-foods": ["<array of foods>"] }
MongoClient 인스턴스 만들기
이 예시에서는 동일한 MongoClient 인스턴스를 사용하여 키 볼트 컬렉션에 액세스하고 암호화된 데이터를 읽고 씁니다.
다음 코드 스니펫은 MongoClient 인스턴스를 만드는 방법을 보여줍니다:
ClientEncryption 인스턴스 만들기
다음 코드 스니펫은 ClientEncryption 인스턴스를 만드는 방법을 보여줍니다:
필드 암호화 및 삽입
다음 알고리즘을 사용하여 문서의 필드를 암호화하려고 합니다.
필드 이름 | 암호화 알고리즘 | BSON 필드 유형 |
|---|---|---|
name | 결정론적 | 문자열 |
age | 암호화 없음 | Int |
favorite-foods | 랜덤 | 배열 |
다음 코드 스니펫은 문서의 필드를 수동으로 암호화하고 문서를 MongoDB에 삽입하는 방법을 보여줍니다.
문서 검색 및 필드 암호 해독
다음 코드 스니펫은 삽입된 문서를 검색하고 암호화된 필드를 수동으로 해독하는 방법을 보여줍니다.
서버측 필드 레벨 암호화 시행
MongoDB는 스키마 유효성 검사를 사용하여 컬렉션의 특정 필드에 암호화를 시행하는 기능을 지원합니다.
특정 필드의 암호화를 적용하도록 구성된 MongoDB 인스턴스에서 명시적 암호화 메커니즘을 사용하여 클라이언트 측 필드 수준 암호화를 수행하는 클라이언트는 MongoDB 인스턴스에 지정된 대로 해당 필드를 암호화해야 합니다.
서버측 CSFLE 적용을 설정하는 방법을 알아보려면 CSFLE 서버 측 스키마 시행을 참조하세요.
자세히 알아보기
키 볼트 컬렉션, 데이터 암호화 키 및 고객 마스터 키에 대해 자세히 알아보려면 암호화 키 및 키 볼트를 참조하세요.
KMS 제공자 및 kmsProviders 객체에 대해 자세히 알아보려면 KMS 제공자를 참조하세요.