getKeyVault()
getKeyVault()現在のデータベース接続の
KeyVaultオブジェクトを返します。KeyVaultオブジェクトは、 クライアント側のフィールドレベル暗号化のためのデータ暗号化キー管理をサポートします。getKeyVault()の構文は次のとおりです。keyVault = db.getMongo().getKeyVault(); 次の値を返します。 現在のデータベース接続の KeyVaultオブジェクト。
次のデータ暗号化キー管理メソッドにアクセスするには、 KeyVaultオブジェクトを使用します。
動作
データベース接続にクライアント側のフィールドレベル暗号化を構成する必要があります
次の例では、クライアント側のフィールドレベル暗号化構成にローカルで管理されているキーを使用しています。
mongoクライアント側のフィールドレベル暗号化メソッドでは、クライアント側のフィールドレベル暗号化が有効になっているデータベース接続が必要です。 現在のデータベース接続がクライアント側のフィールド レベル暗号化を有効にして開始されなかった場合、次のいずれかが発生します。
必要なクライアント側のフィールドレベル暗号化オプションとの接続を確立するには、
Mongo()mongoshell から コンストラクターを使用します。TheMongo()method supports the following Key Management Service (KMS) providers for Customer Master Key (CMK) management:or
必要なオプションとの接続を確立するには、
mongoshellコマンドライン オプションを使用します。 コマンドライン オプションは、CMK 管理用のAmazon Web Services KMSプロバイダーのみをサポートしています。
キーヴォールトの一意の部分インデックス
getKeyVault()keyAltNamesメソッドは、keyAltNames が存在するドキュメントのみの 部分インデックス フィルターを使用して、 フィールドに 一意のインデックス を自動的に作成します。getKeyVault()は、キーヴォールト コレクションにこのインデックスを作成します。 これにより、同じキーヴォールト内の 2 つのデータ暗号化キーが同じキーの別名を持つことがなくなり、どのデータ暗号化キーが暗号化および復号化に適しているかがあいまいになることがなくなります。
警告
getKeyVault()によって作成された一意のインデックスを削除しないでください。 クライアント側のフィールドレベル暗号化操作は、サーバーが強制する 一意性 であるkeyAltNamesに依存します。 インデックスを削除すると、予期しない、または予測できない動作が発生する可能性があります。
例
次の例では、クライアント側のフィールドレベル暗号化構成にローカルで管理されているキーを使用しています。
ローカルで管理されているキーに対してクライアント側のフィールドレベル暗号化を構成するには、改行を含まない base64 でエンコードされた 96 バイトのstringを指定する必要があります。 次の操作では、前述の要件を満たすキーを生成し、それをmongo shell にロードします。
TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')") mongosh --nodb --shell --eval "var TEST_LOCAL_KEY='$TEST_LOCAL_KEY'"
生成されたローカルキーstringを使用して、クライアント側のフィールドレベル暗号化オブジェクトを作成します。
var ClientSideFieldLevelEncryptionOptions = { "keyVaultNamespace" : "encryption.__dataKeys", "kmsProviders" : { "local" : { "key" : BinData(0, TEST_LOCAL_KEY) } } }
Mongo()コンストラクターを使用して、クライアント側のフィールドレベル暗号化オプションを持つデータベース接続を作成します。 mongodb://myMongo.example.net URI を、ターゲットクラスターの接続string URIに置き換えます。
encryptedClient = Mongo( "mongodb://myMongo.example.net:27017/?replSetName=myMongo", ClientSideFieldLevelEncryptionOptions )
キーヴォールト オブジェクトを取得するには、 getKeyVault()メソッドを使用します。
keyVault = encryptedClient.getKeyVault()
クライアント側のフィールドレベル暗号化を有効にして MongoDB 接続を開始する方法に関する詳細なドキュメントについては、 Mongo()を参照してください。