Visão geral
Este guia mostra como criar uma aplicação habilitada para criptografia de nível de campo (CSFLE) do lado do cliente usando um provedor de chaves compatível com Key Management Interoperability Protocol (KMIP).
Depois de concluir as etapas deste guia, você deverá ter:
Uma chave mestra do cliente hospedada em um provedor de chaves compatívelcom KMIP .
Uma aplicação cliente funcional que insere documentos com campos criptografados usando sua Chave Mestra do Cliente.
Antes de começar
Antes de iniciar este tutorial, conclua as seguintes etapas de pré-requisito:
Baixe a Biblioteca Compartilhada de Criptografia Automática do Centro de Download do MongoDB. Navegue até a seção MongoDB Enterprise Server Download e selecione as seguintes opções:
No menu suspenso Version, selecione a versão marcada como
"current".No menu suspenso Platform, selecione sua plataforma.
No menu suspenso Package, selecione
crypt_shared.
Extraia o arquivo e salve o caminho para o arquivo da biblioteca compartilhada para uso futuro.
Observação
Componente de análise de query
A Biblioteca compartilhada de criptografia automática é uma alternativa preferencial ao
mongocryptde não requer a geração de um novo processo para realizar a criptografia automática. Este tutorial usa a Biblioteca compartilhada de criptografia automática, mas omongocryptdainda é suportado.Configure um cluster MongoDB Atlas ou uma implantação de conjunto de réplicas local e salve sua string de conexão para uso futuro. Para saber mais, consulte o tutorial Introdução.
Neste guia, os exemplos de código usam texto de espaço reservado. Antes de executar os exemplos, substitua seus valores por esses espaços reservados.
Por exemplo:
dek_id := "<Your Base64 DEK ID>"
Você substituiria tudo entre aspas pelo seu ID DEK.
dek_id := "abc123"
Selecione a linguagem de programação para a qual você deseja ver exemplos de código no menu suspenso abaixo.
Código completo do aplicativo
Configurar o KMS
Observação
mongod lê a configuração KMIP na inicialização. Por padrão, o servidor usa o protocolo KMIP versão 1.2.
Para conectar-se a uma versão 1.0 ou 1.1 servidor KMIP, use a configuração useLegacyProtocol.
Saiba mais
Para saber como funciona o CSFLE, consulte Fundamentos do CSFLE.
Para saber mais sobre os tópicos mencionados neste guia, consulte os seguintes links:
Saiba mais sobre componentes CSFLE na página Referência.
Saiba como funcionam as chaves mestras do cliente e as chaves de criptografia de dados na página Chaves de criptografia e cofres de chaves .
Veja como os provedores de KMS gerenciam suas chaves CSFLE na página Provedores de KMS .