KeyVault.addKeyAlternateName()
KeyVault.addKeyAlternateName(UUID, keyAltName)UUIDを使用してデータ暗号化キーのkeyAltNames配列にkeyAltNameを追加します。keyAltNameは、キーヴォールト内のすべてのキー間で一意である必要があります。getKeyVault()keyAltNamesメソッドは、keyAltNamesが存在するドキュメントのみの 部分インデックス フィルターを使用して、 フィールドに 一意のインデックス を自動的に作成します。次の値を返します。 データ暗号化キー ドキュメントの前のバージョンを返します。 データ暗号化キーに
UUID()が指定されていない場合は、nullを返します。
互換性
このコマンドは、次の環境でホストされている配置で使用できます。
MongoDB Atlas はクラウドでの MongoDB 配置のためのフルマネージド サービスです
MongoDB Enterprise: サブスクリプションベースの自己管理型 MongoDB バージョン
MongoDB Community: ソースが利用可能で、無料で使用できる自己管理型の MongoDB のバージョン
構文
addKeyAlternateName() の構文は次のとおりです。
keyVault = db.getMongo().getKeyVault() keyVault.addKeyAlternateName( UUID("<UUID string>"), "keyAlternateName" )
動作
データベース接続にクライアント側のフィールドレベル暗号化を構成する必要があります
mongosh クライアント側のフィールド レベル暗号化メソッドでは、クライアント側のフィールド レベル暗号化が有効になっているデータベース接続が必要です。現在のデータベース接続がクライアント側のフィールド レベル暗号化を有効にして開始されなかった場合、次のいずれかが発生します。
Mongo()必要なクライアント側のフィールドレベル暗号化オプションとの接続を確立するには、mongoshから コンストラクターを使用します。Mongo()メソッドは、CMK(Customer Master Key)管理のために次のKMS ( KMS )プロバイダーをサポートしています。or
必要なオプションとの接続を確立するには、
mongoshコマンドライン オプションを使用します。 コマンドライン オプションは、CMK 管理用のAmazon Web Services KMSプロバイダーのみをサポートしています。
例
次の例は、クライアント側のフィールドレベル暗号化の迅速な評価を目的としています。 サポートされている各KeyVault.addKeyAlternateName() KMS プロバイダーで を使用する具体的な例については、「 暗号化キー管理 」を参照してください。
ローカルで管理されているキーに対してクライアント側のフィールドレベル暗号化を構成するには、次の手順に従います。
基本的な64でエンコードされた96バイトの string を生成し、改行を含まない
キーを読み込むには、
mongoshを使用します。
export TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')") mongosh --nodb
生成されたローカルキーstringを使用して、クライアント側のフィールドレベル暗号化オブジェクトを作成します。
var autoEncryptionOpts = { "keyVaultNamespace" : "encryption.__dataKeys", "kmsProviders" : { "local" : { "key" : BinData(0, process.env["TEST_LOCAL_KEY"]) } } }
データベース接続を作成するには、クライアント側のフィールドレベル暗号化オプションが構成されたMongo()コンストラクターを使用します。 mongodb://myMongo.example.net URI を、ターゲットクラスターの接続string URIに置き換えます。
encryptedClient = Mongo( "mongodb://myMongo.example.net:27017/?replSetName=myMongo", autoEncryptionOpts )
KeyVaultオブジェクトを取得し、 KeyVault.addKeyAlternateName()メソッドを使用して、 UUIDと一致するデータ暗号化キーに新しいキーの代替名を追加します。 指定するキーの代替名は一意である必要があります。
keyVault = encryptedClient.getKeyVault() keyVault.addKeyAlternateName(UUID("b4b41b33-5c97-412e-a02b-743498346079"),"Other-Data-Encryption-Key")
成功した場合、 addKeyAlternateName()は 前の バージョンのデータ暗号化キー ドキュメントを返します。
{ "_id" : UUID("b4b41b33-5c97-412e-a02b-743498346079"), "keyMaterial" : BinData(0,"PXRsLOAYxhzTS/mFQAI8486da7BwZgqA91UI7NKz/T/AjB0uJZxTvhvmQQsKbCJYsWVS/cp5Rqy/FUX2zZwxJOJmI3rosPhzV0OI5y1cuXhAlLWlj03CnTcOSRzE/YIrsCjMB0/NyiZ7MRWUYzLAEQnE30d947XCiiHIb8a0kt2SD0so8vZvSuP2n0Vtz4NYqnzF0CkhZSWFa2e2yA=="), "creationDate" : ISODate("2019-08-12T21:21:30.569Z"), "updateDate" : ISODate("2019-08-12T21:21:30.569Z"), "status" : 0, "version" : NumberLong(0), "masterKey" : { "provider" : "local" }, "keyAltNames" : [ ] }
データ暗号化キー ドキュメントの現在のバージョンを表示するには、返されたドキュメントの_idを指定するKeyVault.getKey()を使用するか、 keyAltNamesの 1 つを指定するKeyVault.getKeyByAltName()を使用します。