KeyVault.createKey()
KeyVault.createKey(keyManagementService, customerMasterKey, ["keyAltName"])データベース接続に関連付けられたキーヴォールトにデータ暗号化キーを追加します。 クライアント側のフィールドレベル暗号化では、フィールド値の暗号化と復号化をサポートするためにデータ暗号化キーを使用します。
createKey()の構文は次のとおりです。keyVault = db.getMongo().getKeyVault() keyVault.createKey( keyManagementService, customerMasterKey, [ "keyAltName" ] ) Parameterタイプ説明keyManagementServicestring必須
CMK(Customer Master Key)の取得に使用するKMS ( KMS )。 次のパラメータを受け入れます。
awsAmazon Web Services KMSの。customerMasterKeyの CMK(Customer Master Key) stringを指定する必要があります。azureAzure Key Vault用の。customerMasterKeyの CMK(Customer Master Key)ドキュメントを指定する必要があります。バージョン 5.0 で追加
gcpGoogle Cloud Platform KMS用。customerMasterKeyの CMK(Customer Master Key)ドキュメントを指定する必要があります。バージョン 5.0 で追加
localローカルで管理されているキーの場合
database connectionが指定された KMS で構成されていない場合、データ暗号化キーの作成は失敗します。customerMasterKey文字列またはドキュメントデータ暗号化キーの暗号化に使用する CMK(Customer Master Key)。
keyManagementServiceがaws、azure、またはgcpの場合に必須です。KMS プロバイダーに応じて、次のように CMK を指定します。
Amazon Web Services KMS の場合は、完全な Amazon リソース名(ARN) を指定します マスター キーの を単一の string として表示します。
Azure Key Vault KMS の場合は、次のキーと値のペアを含むドキュメントを指定します。
keyName- Azure Key Vault 名keyVaultEndpoint- 使用する Azure Key Vault の DNS 名keyVersion- 任意。keyNameで指定されたキーのバージョン(該当する場合)
バージョン 5.0 で追加
Google Cloud Platform KMSの場合は、次のキーと値のペアを含むドキュメントを指定します。
projectId- GCP プロジェクト名location- KMS キーの場所keyRing- KMS キーリングの名前(多くの場合「グローバル」)keyName- 使用するキーの名前keyVersion- 任意。keyNameで指定されたキーのバージョン(該当する場合)
バージョン 5.0 で追加
createKey()は、指定されたKMSを使用してデータ暗号化キーマテリアルを暗号化することを要求します。 CMK が存在しない場合、またはClientSideFieldLevelEncryptionOptions構成に CMK を使用するための十分な特権がない場合、createKey()はエラーを返します。このパラメータは、
keyManagementServiceがlocalである場合は効果がなく、省略しても問題ありません。keyAltName文字列の配列任意
データ暗号化キーの別名。 特定のデータ暗号化キーを見つけやすくするには、またはコメントに類似するものとして
keyAltNameを使用します。メソッドは、
getKeyVault()が存在するドキュメントのみを対象とする 部分インデックスkeyAltNamesフィルターを使用して、 フィールドに 一意のインデックスkeyAltNamesを自動的に作成します。次の値を返します。 作成されたデータ暗号化キーの UUID一意の識別子。
動作
データベース接続にクライアント側のフィールドレベル暗号化を構成する必要があります
mongoクライアント側のフィールドレベル暗号化メソッドでは、クライアント側のフィールドレベル暗号化が有効になっているデータベース接続が必要です。 現在のデータベース接続がクライアント側のフィールド レベル暗号化を有効にして開始されなかった場合、次のいずれかが発生します。
必要なクライアント側のフィールドレベル暗号化オプションとの接続を確立するには、
Mongo()mongoshell から コンストラクターを使用します。TheMongo()method supports the following Key Management Service (KMS) providers for Customer Master Key (CMK) management:or
必要なオプションとの接続を確立するには、
mongoshellコマンドライン オプションを使用します。 コマンドライン オプションは、CMK 管理用のAmazon Web Services KMSプロバイダーのみをサポートしています。
例
次の例は、クライアント側のフィールドレベル暗号化の迅速な評価を目的としています。 サポートされている各KeyVault.createKey() KMS プロバイダーで を使用する具体的な例については、「 データ暗号化キーの作成 」を参照してください。
ローカルで管理されているキーに対してクライアント側のフィールドレベル暗号化を構成するには、改行を含まない base64 でエンコードされた 96 バイトのstringを指定する必要があります。 次の操作では、前述の要件を満たすキーを生成し、それをmongo shell にロードします。
TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')") mongosh --nodb --shell --eval "var TEST_LOCAL_KEY='$TEST_LOCAL_KEY'"
生成されたローカルキーstringを使用して、クライアント側のフィールドレベル暗号化オブジェクトを作成します。
var ClientSideFieldLevelEncryptionOptions = { "keyVaultNamespace" : "encryption.__dataKeys", "kmsProviders" : { "local" : { "key" : BinData(0, TEST_LOCAL_KEY) } } }
Mongo()コンストラクターを使用して、クライアント側のフィールドレベル暗号化オプションを持つデータベース接続を作成します。 mongodb://myMongo.example.net URI を、ターゲットクラスターの接続string URIに置き換えます。
encryptedClient = Mongo( "mongodb://myMongo.example.net:27017/?replSetName=myMongo", ClientSideFieldLevelEncryptionOptions )
keyVaultオブジェクトを取得し、 KeyVault.createKey()メソッドを使用して、ローカルで管理されているキーを使用して新しいデータ暗号化キーを作成します。
keyVault = encryptedClient.getKeyVault() keyVault.createKey("local", ["data-encryption-key"])
成功した場合、 createKey()は新しいデータ暗号化キーのUUIDを返します。 新しいデータ暗号化キー ドキュメントをキーヴォールトから検索するには、次のいずれかを実行します。
getKey()を使用して、UUIDによって作成されたキーを取得します。または
別名でキーを検索するには、
getKeyByAltName()を使用します。