ClientEncryption.createEncryptedCollection()

項目一覧

構文

コマンドフィールド
動作
例
詳細

バージョン 7.0 で追加。

ClientEncryption.createEncryptedCollection(dbName, collName, clientEncOpts): ClientEncryption.createEncryptedCollection は、 dbNameで指定されたデータベースにcollNameで指定された暗号化コレクションを作成します。

構文

ClientEncryption.createEncryptedCollection の構文は次のとおりです。

clientEncryption = db.getMongo().getClientEncryption()
clientEncryption.createEncryptedCollection(
  dbName,
  collName,
  {
    provider: kmsProviderName,
    createCollectionOptions: encryptedFieldsMap,
    masterKey: customerMasterKeyCredentials
  }
)

コマンドフィールド

createEncryptedCollection 次のフィールドを取ります。

フィールド	タイプ	必要性	説明
`dbName`	string	必須	暗号化するデータベースの名前。
`collName`	string	必須	暗号化するコレクションの名前。
`clientEncOpts`	ドキュメント	必須	暗号化されたコレクションを構成するオプション。
`clientEncOpts.provider`	string	必須	CMK の保存に使用している KMS。
`clientEncOpts.createCollectionOptions`	ドキュメント	必須	暗号化するフィールド。 `encryptedFieldsMap`オブジェクトの構成方法の詳細については、「暗号化のフィールドの指定」を参照してください。
`clientEncOpts.masterKey`	ドキュメント	任意	KMSプロバイダーがAmazon Web Services 、 GCP 、またはAzureである場合に、マスターキーを取得する方法。

動作

mongoshのクライアント側フィールドレベルとQueryable Encryptionメソッドでは、クライアント側の暗号化用に構成されたデータベース接続が必要です。現在のデータベース接続がクライアント側のフィールドレベル暗号化を有効にして開始されなかった場合、次のいずれかが発生します。

必要なクライアント側フィールドレベル暗号化オプションとの接続を確立するには、 mongoshからMongo()コンストラクターを使用します。 Mongo() メソッドは、CMK（Customer Master Key）管理用に次のKMS （ KMS ）プロバイダーをサポートしています。

必要なオプションとの接続を確立するには、 mongoshコマンドラインオプションを使用します。コマンドラインオプションは、CMK 管理用のAmazon Web Services KMSプロバイダーのみをサポートしています。

例

次の例では、Queryable Encryption 構成にローカルで管理されている KMS を使用しています。

暗号化された接続の作成

mongosh を起動する

mongoshクライアントを起動します。

mongosh --nodb

キーの生成

ローカルで管理されているキーのクライアント側フィールドレベル暗号化を構成するには、改行を含まない base64 でエンコードされた 96 バイトのstringを生成します。

const TEST_LOCAL_KEY = require("crypto").randomBytes(96).toString("base64")

クライアント側のフィールドレベル暗号化オプションの作成

生成されたローカルキーstringを使用して、クライアント側のフィールドレベル暗号化オプションを作成します。

 var autoEncryptionOpts = {
   "keyVaultNamespace" : "encryption.__dataKeys",
   "kmsProviders" : {
     "local" : {
       "key" : BinData(0, TEST_LOCAL_KEY)
     }
   }
 }

暗号化されたクライアントの作成

データベース接続を作成するには、クライアント側のフィールドレベル暗号化オプションが構成されたMongo()コンストラクターを使用します。 mongodb://myMongo.example.net URI を、ターゲットクラスターの接続string URIに置き換えます。

encryptedClient = Mongo(
  "mongodb://myMongo.example.net:27017/?replSetName=myMongo",
   autoEncryptionOpts
)

暗号化するフィールドの指定

暗号化するフィールドを指定するには、次のようにencryptedFieldsMapsを作成します。

const encryptedFieldsMap = {
  encryptedFields: {
    fields: [
      {
        path: "secretField",
        bsonType: "string",
        queries: { queryType: "equality" },
      },
    ],
  },
};

暗号化されたコレクションの作成

暗号化されたenc.usersコレクションを作成します。

clientEncryption = encryptedClient.getClientEncryption();
var result = clientEncryption.createEncryptedCollection(
  "enc",
  "users",
  {
    provider: "local",
    createCollectionOptions: encryptedFieldsMap,
    masterKey: {} // masterKey is optional when provider is local
  }
)

結果オブジェクトを確認する

createEncryptedCollection は、多数のフィールドを持つ大きな結果オブジェクトを返します。 result.collectionの値を確認して、コレクションが目的の場所で作成されたことを確認します。

enc> result.collection
enc.users

詳細

クライアント側のフィールドレベル暗号化を有効にして MongoDB 接続を開始する方法に関する詳細なドキュメントについては、 Mongo()を参照してください。
暗号化されたコレクションの作成とクエリの方法の詳細な例については、「クイックスタート」を参照してください。

戻る

クライアントサイドのフィールドレベル暗号化

ClientEncryption.encrypt