Visão geral
Saiba mais sobre os provedores de serviços KMS que o Queryable Encryption suporta.
Um Serviço de Gerenciamento de Chaves é um Sistema de Gerenciamento de Chaves fornecido como um serviço.
Principais tarefas do serviço de gerenciamento
Na Queryable Encryption, seu serviço de gerenciamento de chaves:
Cria e criptografa a chave mestra do cliente
Criptografa as chaves de criptografia de dados criadas pelo seu aplicativo
Descriptografa chaves de criptografia de dados
Para saber mais sobre chave mestra do cliente e chave de encriptação de dados, consulte Chaves e cofres de chaves do .
Crie e armazene sua chave mestra do cliente
Para criar uma chave mestra do cliente, configure seu provedor de KMS para gerar sua chave mestra do cliente da seguinte maneira:
Para ver um tutorial que demonstra como criar e armazenar uma chavemestra do cliente no serviço de gerenciamento de chaves de sua preferência, consulte Tutoriais.
Criar e criptografar uma chave de encriptação de dados
Para criar um diretório de dados:
Instanciar uma instância
ClientEncryptionem seu aplicativo habilitado para Queryable Encryption:Forneça um objeto
kmsProvidersque especifique as credenciais que seu aplicativo habilitado para Queryable Encryption usa para se autenticar com seu KMS.
Crie um diretório de dados com o método
CreateDataKeydo objetoClientEncryptionem sua aplicação habilitada para Queryable Encryption.Forneça um objeto do
dataKeyOptsque especifique com qual chave seu KMS deve criptografar sua nova Chave de criptografia de dados.
Para aprender a criar e criptografar uma Chave de encriptação de dados, assista ao tutorial disponível nos recursos a seguir:
Para visualizar a estrutura de objetos do kmsProviders e dataKeyOpts para todos os provedores KMS suportados, consulte Serviços de gerenciamento de chaves compatíveis.
Serviços de gerenciamento de chaves suportados
As seções a seguir desta página apresentam as seguintes informações para todos os provedores do serviço de gerenciamento de chaves:
Arquitetura do cliente habilitado para Queryable Encryption
Estrutura de
kmsProvidersobjetosEstrutura de
dataKeyOptsobjetos
A Queryable Encryption é compatível com os seguintes provedores do KMS:
KMS do Amazon Web Services
Esta seção fornece informações relacionadas ao uso do Amazon Web Services KMS em seu aplicação habilitado para Queryable Encryption.
Para ver um tutorial que demonstra como usar o KMS da Amazon Web Services em sua aplicação habilitada para Queryable Encryption, consulte Usar Queryable Encryption automática com a Amazon Web Services.
Arquitetura
O diagrama a seguir descreve a arquitetura de uma aplicação habilitada para Queryable Encryption usando o Amazon Web Services KMS.
Observação
O cliente não consegue acessar a chave mestra do cliente
Ao usar o serviço de gerenciamento de chaves anterior, seu aplicativo habilitado para Queryable Encryption não tem acesso à sua chave mestre do cliente.
Objeto kmsProviders
A tabela a seguir apresenta a estrutura de um objeto kmsProviders para o AWS KMS:
Campo | Obrigatório para o usuário do IAM | Obrigatório para a função do IAM | Descrição |
|---|---|---|---|
ID da chave de acesso | Sim | Sim | Identifica o usuário da conta. |
Chave de acesso secreta | Sim | Sim | Contém as credenciais de autenticação do usuário da conta. |
Session Token | No | Sim | Contém um token obtido do AWS Security Token Service (STS). |
Objeto de Realm DataKeyOpts
A tabela a seguir apresenta a estrutura de um objeto dataKeyOpts para o AWS KMS:
Campo | Obrigatório | Descrição |
|---|---|---|
chave | Sim | Amazon Resource Number (ARN) da chave mestre. |
região | No | Região AWS de sua chave mestra, por exemplo. "us-west-2"; necessário somente se não for especificado em seu ARN. |
endpoint | No | Nome de host personalizado para o endpoint AWS, se configurado para sua conta. |
Azure Key Vault
Esta seção fornece informações relacionadas ao uso do Azure Key Vault em seu aplicação habilitado para Queryable Encryption.
Para ver um tutorial demonstrando como usar o Azure Key Vault em seu aplicativo habilitado para Queryable Encryption, consulte Usar Queryable Encryption Automática com o Azure.
Arquitetura
O diagrama a seguir descreve a arquitetura de um aplicativo habilitado para Queryable Encryption usando o Azure Key Vault.
Observação
O cliente não consegue acessar a chave mestra do cliente
Ao usar o serviço de gerenciamento de chaves anterior, seu aplicativo habilitado para Queryable Encryption não tem acesso à sua chave mestre do cliente.
Objeto kmsProviders
A tabela a seguir mostra a estrutura de um objeto de Realm kmsProviders para o Azure Key Vault:
Campo | Obrigatório | Descrição |
|---|---|---|
azure.tenantId | Sim | Identifica a organização da conta. |
azure.clientId | Sim | Identifica o clientId para autenticar seu aplicativo registrado. |
azure.clientSecret | Sim | Usado para autenticar seu aplicativo registrado. |
azure.identityPlatformEndpoint | No | Especifica um nome de host e número de porta para o servidor de autenticação. O padrão é login.microsoftonline.com e é necessário apenas para instâncias não comerciais do Azure, como uma conta do governo ou da China. |
Objeto de Realm DataKeyOpts
A tabela a seguir mostra a estrutura de um objeto de Realm dataKeyOpts para o Azure Key Vault:
Campo | Obrigatório | Descrição |
|---|---|---|
keyName | Sim | Nome da chave mestre |
keyVersion | No | Versão da chave mestre |
Ponto final do KeyVault | Sim | URL do cofre de chaves. Por exemplo, myVaultName.vault.azure.net |
KMS do Google Cloud Platform
Esta seção fornece informações relacionadas ao uso do Google Cloud Platform Key Management em seu aplicação compatível com Queryable Encryption.
Para visualizar um tutorial demonstrando como usar o GCP KMS em seu aplicativo habilitado para Queryable Encryption, consulte Usar Queryable Encryption Automática com GCP.
Arquitetura
O diagrama a seguir descreve a arquitetura de um aplicativo habilitado para Queryable Encryption usando o GCP KMS.
Observação
O cliente não consegue acessar a chave mestra do cliente
Ao usar o serviço de gerenciamento de chaves anterior, seu aplicativo habilitado para Queryable Encryption não tem acesso à sua chave mestre do cliente.
Objeto kmsProviders
A tabela a seguir mostra a estrutura de um objeto de Realm kmsProviders para a Google Cloud Platform Key Management Service (GCP KMS):
Campo | Obrigatório | Descrição | |||
|---|---|---|---|---|---|
Sim | Identifica o endereço de e-mail da sua conta de serviço. | ||||
chave privada | Sim | Identifies your service account private key in either
base64 string or
Binary subtype 0
format without the prefix and suffix markers. Suppose your service account private key value is as follows: The value you would specify for this field is: If you have a user-key.json credential file, you can extract
the string by executing the following command in a bash or
similar shell: | |||
endpoint | No | Especifica um nome de host e número de porta para o servidor de autenticação. O padrão é oauth2.googleapis.com. |
Objeto de Realm DataKeyOpts
A tabela a seguir mostra a estrutura de um objeto de Realm dataKeyOpts para a Google Cloud Platform Key Management Service (GCP KMS):
Campo | Obrigatório | Descrição |
|---|---|---|
projectId | Sim | Identificador do seu projeto no qual você criou a chave. |
localização | Sim | Região especificada para sua chave. |
chaveiro | Sim | Identificador do grupo de chaves ao qual sua chave pertence. |
keyName | Sim | Identificador para a chave mestre simétrica. |
keyVersion | No | Especifica a versão da chave nomeada. Se não for especificada, a versão padrão da chave será usada. |
endpoint | No | Especifica o host e a porta opcional do Cloud KMS. O padrão é |
KMIP
Esta seção fornece informações relacionadas ao uso de um KMIP provedor de KMS compatível em seu aplicação habilitado para Queryable Encryption.
Arquitetura
O diagrama a seguir descreve a arquitetura de um aplicativo habilitado para Queryable Encryption usando um provedor de chaves compatível com KMIP .
Importante
O cliente acessa a chave mestre do cliente
Quando o aplicativo habilitado para Queryable Encryption usa um provedor de chaves compatível com KMIP , o aplicativo acessa diretamente a chave mestre do cliente.
Objeto kmsProviders
A tabela a seguir apresenta a estrutura de um objeto kmsProviders para um Serviço de gerenciamento de chaves compatível com KMIP:
Observação
Autenticar por TLS/SSL
Seu aplicativo habilitado para Queryable Encryption autentica por TLS/SSL ao usar KMIP.
Campo | Obrigatório | Descrição |
|---|---|---|
endpoint | Sim | Especifica um nome de host e número de porta para o servidor de autenticação. |
Objeto de Realm DataKeyOpts
A tabela a seguir apresenta a estrutura de um objeto dataKeyOpts para um Serviço de gerenciamento de chaves compatível com KMIP:
Campo | Obrigatório | Descrição |
|---|---|---|
keyId | No | O campo Se você não especificar o campo |
endpoint | Sim | O URI do seu provedor de chave compatível com KMIP. |
Provedor de chaves local
Esta seção fornece informações relacionadas ao uso de um provedor de chaves locais (seu sistema de arquivos) em seu aplicativo habilitado para Queryable Encryption.
Aviso
Não use um arquivo de chave local em produção
Um arquivo de chave local em seu sistema de arquivos é inseguro e não é recomendado para produção. Em vez disso, você deve armazenar as chaves mestras do cliente em um sistema remoto de gerenciamento de chaves (KMS).
Para saber como usar um KMS remoto em sua implementação do Queryable Encryption, consulte o Guia de tutoriais .
Para ver um tutorial que demonstra como usar um provedor de chave local para testar a Queryable Encryption, consulte Início Rápido.
Arquitetura
Quando você usa um provedor de chaves locais, sua aplicação recupera sua chave mestra do cliente do sistema de arquivos do computador em que ele é executado. O diagrama a seguir descreve a arquitetura de um aplicativo habilitado para Queryable Encryption usando um provedor de chaves local.
Objeto kmsProviders
A tabela a seguir apresenta a estrutura de um objeto kmsProviders para um provedor de chaves local:
Campo | Obrigatório | Descrição |
|---|---|---|
chave | Sim | A chave mestre usada para criptografar/descriptografar chaves de dados. A chave mestre é passada como uma string codificada base64. |
Objeto de Realm DataKeyOpts
Ao usar um provedor de chave local, você especifica a chave mestra do cliente por meio do objeto kmsProviders.