Docs Menu
Docs Home
/
MongoDBマニュアル
/ / /

KeyVault.createKey()

項目一覧

  • 動作
KeyVault.createKey(keyManagementService, customerMasterKey, ["keyAltName"])

データベース接続に関連付けられたキーヴォールトにデータ暗号化キーを追加します。 クライアント側フィールドレベル暗号化は、フィールド値の暗号化と復号化をサポートするためにデータ暗号化キーを使用します。

createKey() の構文は次のとおりです。

keyVault = db.getMongo().getKeyVault()
keyVault.createKey(
keyManagementService,
customerMasterKey,
[ "keyAltName" ]
)
Parameter
タイプ
説明
keyManagementService
string

必須

CMK(Customer Master Key)の取得に使用するKMS ( KMS )。 次のパラメータを受け入れます。

  • aws Amazon Web Services KMSの。 customerMasterKey の CMK(Customer Master Key) stringを指定する必要があります。

  • azure Azure Key Vault用の。 customerMasterKeyの CMK(Customer Master Key)ドキュメントを指定する必要があります。

    バージョン 5.0 で追加

  • gcp Google Cloud Platform KMS用。 customerMasterKeyの CMK(Customer Master Key)ドキュメントを指定する必要があります。

    バージョン 5.0 で追加

  • local ローカルで管理されているキーの場合

database connectionが指定された KMS で構成されていない場合、データ暗号化キーの作成は失敗します。

customerMasterKey
文字列またはドキュメント

データ暗号化キーの暗号化に使用する CMK(Customer Master Key)。 keyManagementServiceawsazure 、またはgcpの場合に必須です。

KMS プロバイダーに応じて、次のように CMK を指定します。

createKey()は、指定されたKMSを使用してデータ暗号化キーマテリアルを暗号化することを要求します。 CMK が存在しない場合、またはAutoEncryptionOpts構成に CMK を使用するための十分な特権がない場合、 createKey()はエラーを返します。

このパラメータは、 keyManagementServicelocalである場合は効果がなく、省略しても問題ありません。

keyAltName
文字列の配列

任意

データ暗号化キーの別名。 特定のデータ暗号化キーを見つけやすくするには、またはコメントに類似するものとしてkeyAltNameを使用します。

メソッドは、 getKeyVault()が存在するドキュメントのみを対象とする 部分インデックス keyAltNamesフィルターを使用して、 フィールドに 一意のインデックスkeyAltNames を自動的に作成します。

options
ドキュメント

任意

新しいキーのオプションを指定するドキュメント。 optionsには次のフィールドがあります:

  • masterKey: データを暗号化するための新しいマスター キー。

  • keyAltNames: マスターキーごとに 1 つの代替名の配列。

  • keyMaterial: キーを作成するために使用されるバインデータ。

次の値を返します。作成されたデータ暗号化キーのUUID一意の識別子。

mongosh クライアント側のフィールド レベル暗号化メソッドでは、クライアント側のフィールド レベル暗号化が有効になっているデータベース接続が必要です。現在のデータベース接続がクライアント側のフィールド レベル暗号化を有効にして開始されなかった場合、次のいずれかが発生します。

次の例は、クライアント側のフィールドレベル暗号化の迅速な評価を目的としています。 サポートされている各KeyVault.createKey() KMS プロバイダーで を使用する具体的な例については、「 データキーの作成 」を参照してください。

1

mongoshクライアントを起動します。

mongosh --nodb
2

ローカルで管理されているキーのクライアント側フィールドレベル暗号化を構成するには、改行を含まない base64 でエンコードされた 96 バイトのstringを生成します。

const TEST_LOCAL_KEY = require("crypto").randomBytes(96).toString("base64")
3

生成されたローカルキーstringを使用して、クライアント側のフィールドレベル暗号化オプションを作成します。

var autoEncryptionOpts = {
"keyVaultNamespace" : "encryption.__dataKeys",
"kmsProviders" : {
"local" : {
"key" : BinData(0, TEST_LOCAL_KEY)
}
}
}
4

データベース接続を作成するには、クライアント側のフィールドレベル暗号化オプションが構成されたMongo()コンストラクターを使用します。 mongodb://myMongo.example.net URI を、ターゲットクラスターの接続string URIに置き換えます。

encryptedClient = Mongo(
"mongodb://myMongo.example.net:27017/?replSetName=myMongo",
autoEncryptionOpts
)

keyVaultオブジェクトを取得し、 KeyVault.createKey()メソッドを使用して、ローカルで管理されているキーを使用して新しいデータ暗号化キーを作成します。

keyVault = encryptedClient.getKeyVault()
keyVault.createKey("local", ["data-encryption-key"])

成功した場合、 createKey()は新しいデータ暗号化キーのUUIDを返します。 新しいデータ暗号化キー ドキュメントをキーヴォールトから検索するには、次のいずれかを実行します。

  • getKey()を使用して、 UUIDによって作成されたキーを取得します。

    または

  • 別名でキーを検索するには、 getKeyByAltName()を使用します。

戻る

KeyVault.createDataKey

項目一覧