getKeyVault()
getKeyVault()
現在のデータベース接続の
KeyVault
オブジェクトを返します。KeyVault
オブジェクトは、 クライアント側フィールドレベル暗号化のためのデータ暗号化キー管理をサポートします。次の値を返します。 現在のデータベース接続の KeyVault
オブジェクト。
互換性
このコマンドは、次の環境でホストされている配置で使用できます。
MongoDB Atlas はクラウドでの MongoDB 配置のためのフルマネージド サービスです
MongoDB Enterprise: サブスクリプションベースの自己管理型 MongoDB バージョン
MongoDB Community: ソースが利用可能で、無料で使用できる自己管理型の MongoDB のバージョン
構文
getKeyVault()
の構文は次のとおりです。
keyVault = db.getMongo().getKeyVault();
次のデータ暗号化キー管理メソッドにアクセスするには、 KeyVault
オブジェクトを使用します。
動作
データベース接続にクライアント側のフィールドレベル暗号化を構成する必要があります
次の例では、クライアント側のフィールドレベル暗号化構成にローカルで管理されているキーを使用しています。
mongosh
クライアント側のフィールド レベル暗号化メソッドでは、クライアント側のフィールド レベル暗号化が有効になっているデータベース接続が必要です。現在のデータベース接続がクライアント側のフィールド レベル暗号化を有効にして開始されなかった場合、次のいずれかが発生します。
Mongo()
必要なクライアント側のフィールドレベル暗号化オプションとの接続を確立するには、mongosh
から コンストラクターを使用します。Mongo()
メソッドは、CMK(Customer Master Key)管理のために次のKMS ( KMS )プロバイダーをサポートしています。or
必要なオプションとの接続を確立するには、
mongosh
コマンドライン オプションを使用します。 コマンドライン オプションは、CMK 管理用のAmazon Web Services KMSプロバイダーのみをサポートしています。
キーヴォールトの一意の部分インデックス
getKeyVault()
keyAltNames
メソッドは、keyAltNames
が存在するドキュメントのみの 部分インデックス フィルターを使用して、 フィールドに 一意のインデックス を自動的に作成します。getKeyVault()
は、キーヴォールト コレクションにこのインデックスを作成します。 これにより、同じキーヴォールト内の 2 つのデータ暗号化キーが同じキーの別名を持つことがなくなり、どのデータ暗号化キーが暗号化および復号化に適しているかがあいまいになることがなくなります。
警告
getKeyVault()
によって作成された一意のインデックスを削除しないでください。 クライアント側のフィールドレベル暗号化操作は、 keyAltNames
のサーバー強制一意性に依存します。 インデックスを削除すると、予期しない、または予測できない動作が発生する可能性があります。
例
次の例では、クライアント側のフィールドレベル暗号化構成にローカルで管理されているキーを使用しています。
暗号化されたクライアントの作成
データベース接続を作成するには、クライアント側のフィールドレベル暗号化オプションが構成されたMongo()
コンストラクターを使用します。 mongodb://myMongo.example.net
URI を、ターゲットクラスターの接続string URIに置き換えます。
encryptedClient = Mongo( "mongodb://myMongo.example.net:27017/?replSetName=myMongo", autoEncryptionOpts )
キーヴォールト オブジェクトを取得するには、 getKeyVault()
メソッドを使用します。
keyVault = encryptedClient.getKeyVault()
クライアント側のフィールドレベル暗号化を有効にして MongoDB 接続を開始する方法に関する詳細なドキュメントについては、 Mongo()
を参照してください。