키 및 키 자격 증명 모음Keys and Key Vaults

이 페이지의 내용

개요

키
키 볼트 컬렉션
키 볼트 컬렉션 이름
권한
키 볼트 클러스터
키 볼트 collection 업데이트

동일성 쿼리를 사용한 Queryable Encryption이 MongoDB 7 에서 GA(일반 사용 가능)로 제공됩니다.0. Queryable Encryption을 사용하려면 MongoDB를 버전 7 로 업그레이드합니다. 호환되는 드라이버가 있는 0 . Queryable Encryption Public Preview가 MongoDB 6 와 함께 릴리스되었습니다.0 는 더 이상 지원되지 않으며 GA 기능과 호환되지 않습니다. 자세한 내용은 MongoDB 7 를 참조하세요.0 호환성 참고 사항.

개요

이 가이드에서는 Queryable Encryption의 다음 구성 요소에 대해 자세히 알아볼 수 있습니다.

데이터 암호화 키(DEK)
고객 마스터 키(CMK)
키 볼트 컬렉션
키 관리 시스템(KMS)

앞의 구성 요소를 사용하여 Queryable Encryption 지원 클라이언트를 설정하는 방법을 보여주는 단계별 가이드를 보려면 다음 리소스를 참조하세요.

키

데이터 암호화 키( DEK )는 MongoDB가 문서의 필드를 암호화하는 데 사용하는 키입니다. 당신은 고객 마스터 키(CMK )로 암호화된 키 볼트 컬렉션의 문서에 DEK 를 저장합니다.

고객 마스터 키는 MongoDB가 데이터 암호화 키를 생성하는 동안 암호화하는 데 사용하는 키입니다. CMK 에 대한 액세스 권한이 없으면 클라이언트 애플리케이션은 관련 DEK를 복호화할 수 없습니다.

DEK를 삭제하면 해당 DEK로 암호화된 모든 필드를 영구적으로 읽을 수 없게 됩니다. CMK를 삭제하면 해당 CMK를 사용하여 DEK로 암호화된 모든 필드는 영구적으로 읽을 수 없게 됩니다.

경고

고객 마스터 키는 Queryable Encryption에서 가장 민감한 키입니다. CMK가 손상되면 암호화된 모든 데이터를 해독할 수 있습니다. 원격 키 관리 시스템을 사용하여 CMK를 저장합니다.

중요

원격 키 관리 서비스 제공자 사용

고객 마스터 키를 원격 키 관리 시스템(KMS)에 저장합니다.

원격 KMS를 사용해야 하는 이유에 대해 자세히 알아보려면 원격 KMS 를 사용해야 하는 이유를 참조하세요.

지원되는 모든 KMS 제공자 목록을 보려면 KMS 제공자 페이지를 참조하세요.

DEK, 고객 마스터 키 및 키 볼트 컬렉션이 지원되는 모든 KMS 제공자 아키텍처에서 어떻게 상호 작용하는지 자세히 설명하는 다이어그램을 보려면 KMS 제공자를 참조하세요.

키 볼트 컬렉션

키 볼트 컬렉션은 암호화된 DEK(Data Encryption Key) 문서를 저장하는 데 사용하는 MongoDB 컬렉션입니다. DEK 문서는 DEK를 포함하는 BSON 문서로 다음과 같은 구조를 가집니다.

{
  "_id" : UUID(<string>),
  "status" : <int>,
  "masterKey" : {<object>},
  "updateDate" : ISODate(<string>),
  "keyMaterial" : BinData(0,<string>),
  "creationDate" : ISODate(<string>),
  "keyAltNames" : <array>
}

키 볼트 컬렉션은 표준 MongoDB collection을 만들 때와 마찬가지로 생성할 수 있습니다. 키 볼트 컬렉션에는 keyAltNames 필드에 고유 인덱스 가 있어야 합니다. 고유 인덱스가 있는지 확인하려면 Key Vault collection에 대해 listIndexes 명령을 실행합니다.

1 db.runCommand({
2    listIndexes: "__keyVault",
3 });

1 {
2    cursor: {
3       id: Long("0"),
4       ns: 'encryption.__keyVault',
5       firstBatch: [
6          { v: 2, key: { _id: 1 }, name: '_id_' }
7          ]
8    },
9    ok: 1,
10 }

고유 인덱스가 존재하지 않는 경우, DEK 관리를 수행하기 전에 애플리케이션에서 인덱스를 생성해야 합니다.

MongoDB 컬렉션을 만드는 방법을 알아보려면 데이터베이스 및 컬렉션을 참조하세요.

팁

mongosh 기능

mongosh 메서드 KeyVault.createKey() 는 keyAltNames 필드에 고유 인덱스가 없는 경우 자동으로 고유 인덱스를 생성합니다.

키 볼트 컬렉션 이름

관리자가 아닌 네임스페이스를 사용하여 키 볼트 컬렉션을 저장할 수 있습니다. 관례에 따라 이 문서 전체의 예제에서는 encryption.__keyVault 네임스페이스를 사용합니다.

경고

암호화 관련 컬렉션을 저장하는 데 admin 데이터베이스를 사용하지 않도록 합니다. 이 컬렉션에 관리자 데이터베이스를 사용하는 경우, 권한 부족으로 인해 MongoDB 클라이언트에서 데이터에 액세스하거나 암호를 해독하지 못할 수 있습니다.

권한

키 볼트 컬렉션에 대한 read 액세스 권한이 있는 애플리케이션은 컬렉션을 쿼리하여 암호화된 DEK(데이터 암호화 키)를 검색할 수 있습니다. 그러나 DEK 암호화에 사용되는 CMK(고객 마스터 키)에 액세스할 수 있는 애플리케이션만 해당 DEK를 암호화 또는 복호화에 사용할 수 있습니다. DEK로 문서를 암호화하고 해독하려면 애플리케이션에 키 볼트 컬렉션과 CMK에 대한 액세스 권한을 모두 부여해야 합니다.

MongoDB 컬렉션에 대한 액세스 권한을 부여하는 방법을 알아보려면 MongoDB 매뉴얼의 사용자 및 역할 관리 를 참조하세요.

애플리케이션에 고객 마스터 키에 대한 액세스 권한을 부여하는 방법을 알아보려면 튜토리얼 튜토리얼을 참조하세요.

키 볼트 클러스터

기본적으로 MongoDB는 연결된 클러스터에 키 볼트 컬렉션을 저장합니다. MongoDB는 연결된 클러스터와 다른 MongoDB deployment에서 키 볼트 컬렉션 호스팅도 지원합니다. 애플리케이션이 Queryable Encryption 작업을 수행하려면 키 볼트 컬렉션을 호스팅하는 클러스터와 연결 클러스터에 모두 액세스할 수 있어야 합니다.

키 볼트 컬렉션을 호스팅하는 클러스터를 지정하려면 클라이언트 MongoClient 객체의 keyVaultClient 필드를 사용합니다. 클라이언트의 MongoClient 객체에 있는 Queryable Encryption 관련 구성 옵션에 대해 자세히 알아보려면 Queryable Encryption 을 위한 MongoClient 옵션을 참조하세요.

키 볼트 collection 업데이트

키 볼트 컬렉션에 DEK를 추가하려면 ClientEncryption 객체의 createKey 메서합니다.드를 사용하세요.

DEK 를 삭제하거나 업데이트하려면 표준 CRUD 작업을 사용합니다. DEK를 MongoDB에 문서로 저장하고 모든 문서 작업을 DEK에 적용할 수 있습니다.

DEK를 만드는 방법을 보여주는 튜토리얼을 보려면 빠른 시작을 참조하세요.

팁

mongosh 특정 기능

mongosh 키 볼트 컬렉션 작업을 위한 다음과 같은 추가 메서드를 제공합니다.

← 명시적 암호화

암호화 키 관리(Encryption Key Management) →

1	{
2	cursor: {
3	id: Long("0"),
4	ns: 'encryption.__keyVault',
5	firstBatch: [
6	{ v: 2, key: { _id: 1 }, name: '_id_' }
7	]
8	},
9	ok: 1,
10	}