本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 用戶端欄位層級加密
Amazon DocumentDB 用戶端欄位層級加密 (FLE) 可讓您先加密用戶端應用程式中的敏感資料,再將其傳輸至 Amazon DocumentDB 叢集。敏感資料在叢集中存放和處理時保持加密,並在擷取時在用戶端應用程式解密。
**Topics**
+ [開始使用](#fle-getting-started)
+ [在用戶端 FLE 中查詢](#fle-querying)
+ [限制](#fle-limitationa)
## 開始使用
Amazon DocumentDB 中用戶端 FLE 的初始組態是一個四步驟程序,包括建立加密金鑰、將角色與應用程式建立關聯、設定應用程式,以及使用加密選項定義 CRUD 操作。
**Topics**
+ [步驟 1:建立加密金鑰](#fle-step-create-key)
+ [步驟 2:將角色與應用程式建立關聯](#fle-step-associate-role)
+ [步驟 3:設定應用程式](#fle-step-config-app)
+ [步驟 4:定義 CRUD 操作](#fle-step-crud-ops)
+ [範例:用戶端欄位層級加密組態檔案](#fle-config-example)
### 步驟 1:建立加密金鑰
使用 AWS Key Management Service,建立用於加密和解密敏感資料欄位的對稱金鑰,並提供必要的 IAM 使用許可。 AWS KMS 會存放用於加密資料金鑰 (DKs) 的客戶金鑰 (CK)。我們建議您將客戶金鑰存放在 KMS 中,以強化您的安全狀態。資料金鑰是存放在 Amazon DocumentDB 集合中的次要金鑰,在將文件存放在 Amazon DocumentDB 之前,需要先加密敏感欄位。客戶金鑰會加密資料金鑰,進而加密和解密您的資料。如果您使用的是全域叢集,您可以建立多區域金鑰,供不同區域中的不同服務角色使用。
如需 的詳細資訊 AWS Key Management Service,包括如何建立金鑰,請參閱[AWS 金鑰管理服務開發人員指南](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)。
### 步驟 2:將角色與應用程式建立關聯
建立具有適當 AWS KMS 許可的 IAM 政策。此政策允許其連接的 IAM 身分加密和解密資源欄位中指定的 KMS 金鑰。您的應用程式會擔任此 IAM 角色以進行身分驗證 AWS KMS。
政策看起來應該類似:
```
{ "Effect": "Allow",
"Action": ["kms:Decrypt", "kms:Encrypt"],
"Resource": "Customer Key ARN"
}
```
### 步驟 3:設定應用程式
現在您已在 中定義客戶金鑰, AWS KMS 並建立 IAM 角色,並為該角色提供存取客戶金鑰的正確 IAM 許可。匯入下列必要的套件。
```
import boto3
import json
import base64
from pymongo import MongoClient
from pymongo.encryption import (Algorithm,
ClientEncryption)
```
```
# create a session object:
my_session = boto3.session.Session()
# get access_key and secret_key programmatically using get_frozen_credentials() method:
current_credentials = my_session.get_credentials().get_frozen_credentials()
```
1. 將「aws」指定為 KMS 提供者類型,並輸入在上一個步驟中擷取的帳戶登入資料。
```
provider = "aws"
kms_providers = {
provider: {
"accessKeyId": current_credentials.access_key,
"secretAccessKey": current_credentials.secret_key
}
}
```
1. 指定用於加密資料金鑰的客戶金鑰:
```
customer_key = {
“region”: “AWS region of the customer_key”,
“key”: “customer_key ARN”
}
key_vault_namespace = "encryption.dataKeys"
key_alt_name = 'TEST_DATA_KEY'
```
1. 設定 MongoClient 物件:
```
client = MongoClient(connection_string)
coll = client.test.coll
coll.drop()
client_encryption = ClientEncryption(
kms_providers, # pass in the kms_providers variable from the previous step
key_vault_namespace = key_vault_namespace,
client,
coll.codec_options
)
```
1. 產生資料金鑰:
```
data_key_id = client_encryption.create_data_key(provider,
customer_key,
key_alt_name = [key_alt_name])
```
1. 擷取現有的資料金鑰:
```
data_key = DataKey("aws",
master_key = customer_key)
key_id = data_key["_id"]
data_key_id = client[key_vault_namespace].find_one({"_id": key_id})
```
### 步驟 4:定義 CRUD 操作
使用加密選項定義 CRUD 操作。
1. 定義要write/read/delete的集合:
```
coll = client.gameinfo.users
```
1. 明確加密 - 加密欄位並插入:
**注意**
必須提供 "key\$1id" 或 "key\$1alt\$1name" 其中之一。
```
encrypted_first_name = client_encryption.encrypt(
"Jane",
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Deterministic,
key_alt_name=data_key_id
)
encrypted_last_name = client_encryption.encrypt(
"Doe",
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Deterministic,
key_alt_name=data_key_id
)
encrypted_dob = client_encryption.encrypt(
"1990-01-01",
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Random,
key_alt_name=data_key_id
)
coll.insert_one(
{"gamerTag": "jane_doe90",
"firstName": encrypted_first_name,
"lastName": encrypted_last_name,
"dateOfBirth":encrypted_dob,
"Favorite_games":["Halo","Age of Empires 2","Medal of Honor"]
})
```
### 範例:用戶端欄位層級加密組態檔案
在下列範例中,將每個*使用者輸入預留位置*取代為您自己的資訊。
```
# import python packages:
import boto3
import json
import base64
from pymongo import MongoClient
from pymongo.encryption import (Algorithm,
ClientEncryption)
def main():
# create a session object:
my_session = boto3.session.Session()
# get aws_region from session object:
aws_region = my_session.region_name
# get access_key and secret_key programmatically using get_frozen_credentials() method:
current_credentials = my_session.get_credentials().get_frozen_credentials()
provider = "aws"
# define the kms_providers which is later used to create the Data Key:
kms_providers = {
provider: {
"accessKeyId": current_credentials.access_key,
"secretAccessKey": current_credentials.secret_key
}
}
# enter the kms key ARN. Replace the example ARN value.
kms_arn = "arn:aws:kms:us-east-1:123456789:key/abcd-efgh-ijkl-mnop"
customer_key = {
"region": aws_region,
"key":kms_arn
}
# secrets manager is used to strore and retrieve user credentials for connecting to an Amazon DocumentDB cluster.
# retrieve the secret using the secret name. Replace the example secret key.
secret_name = "/dev/secretKey"
docdb_credentials = json.loads(my_session.client(service_name = 'secretsmanager', region_name = "us-east-1").get_secret_value(SecretId = secret_name)['SecretString'])
connection_params = '/?tls=true&tlsCAFile=global-bundle.pem&replicaSet=rs0&readPreference=secondaryPreferred&retryWrites=false'
conn_str = 'mongodb://' + docdb_credentials["username"] + ':' + docdb_credentials["password"] + '@' + docdb_credentials["host"] + ':' + str(docdb_credentials["port"]) + connection_params
client = MongoClient(conn_str)
coll = client.test.coll
coll.drop()
# store the encryption data keys in a key vault collection (having naming convention as db.collection):
key_vault_namespace = "encryption.dataKeys"
key_vault_db_name, key_vault_coll_name = key_vault_namespace.split(".", 1)
# set up the key vault (key_vault_namespace) for this example:
key_vault = client[key_vault_db_name][key_vault_coll_name]
key_vault.drop()
key_vault.create_index("keyAltNames", unique=True)
client_encryption = ClientEncryption(
kms_providers,
key_vault_namespace,
client,
coll.codec_options)
# create a new data key for the encrypted field:
data_key_id = client_encryption.create_data_key(provider, master_key=customer_key, key_alt_names=["some_key_alt_name"], key_material = None)
# explicitly encrypt a field:
encrypted_first_name = client_encryption.encrypt(
"Jane",
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Deterministic,
key_id=data_key_id
)
coll.insert_one(
{"gamerTag": "jane_doe90",
"firstName": encrypted_first_name
})
doc = coll.find_one()
print('Encrypted document: %s' % (doc,))
# explicitly decrypt the field:
doc["encryptedField"] = client_encryption.decrypt(doc["encryptedField"])
print('Decrypted document: %s' % (doc,))
# cleanup resources:
client_encryption.close()
client.close()
if __name__ == "__main__":
main()
```
## 在用戶端 FLE 中查詢
Amazon DocumentDB 支援用戶端 FLE 的點相等性查詢。不等式和比較查詢可能會傳回不正確的結果。與對解密值發出相同的操作相比,讀取和寫入操作可能會有非預期或不正確的行為。
例如,若要針對玩家核心大於 500 的文件查詢篩選條件:
```
db.users.find( {
"gamerscore" : { $gt : 500 }
})
```
用戶端使用明確加密方法來加密查詢值:
```
encrypted_gamerscore_filter = client_encryption.encrypt(
500,
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Deterministic,
key_alt_name=data_key_id
)
db.users.find( {
"gamerscore" : { $gt : encrypted_gamerscore_filter }
} )
```
在尋找操作中,Amazon DocumentDB 會使用大於不等式檢查,將 500 的加密值與儲存在每個文件中的加密欄位值進行比較。使用解密的資料和值執行時,尋找操作中的不等式檢查可能會傳回不同的結果,即使操作成功產生結果。
## 限制
下列限制適用於 Amazon DocumentDB 用戶端欄位層級加密:
+ Amazon DocumentDB 僅支援點相等性查詢。不等式和比較查詢可能會傳回不正確的結果。與對解密值發出相同的操作相比,讀取和寫入操作可能會有非預期或不正確的行為。查詢玩家分數大於 500 的文件篩選條件。
```
db.users.find( {
"gamerscore" : { $gt : 500 }
})
```
用戶端使用明確加密方法來加密查詢值。
```
encrypted_gamerscore_filter = client_encryption.encrypt(
500,
Algorithm.AEAD_AES_256_CBC_HMAC_SHA_512_Deterministic,
key_alt_name=data_key_id
)
db.users.find({
"gamerscore" : { $gt : encrypted_gamerscore_filter }
})
```
在尋找操作中,Amazon DocumentDB 會使用大於不等式檢查,將 500 的加密值與儲存在每個文件中的加密欄位值進行比較。使用解密的資料和值執行時,尋找操作中的不等式檢查可能會傳回不同的結果,即使操作成功產生結果。
+ Amazon DocumentDB 不支援來自 Mongo Shell 的明確用戶端 FLE。不過,此功能適用於我們支援的任何驅動程式。