Docs Menu
Docs Home
/
MongoDB マニュアル
/
参照
/
mongosh メソッド
/
クライアントサイドのフィールド レベル暗号化

KeyVault.removeKeyAlternateName()

項目一覧

  • 動作
KeyVault.removeKeyAlternateName(UUID, keyAltName)

指定されたkeyAltNameを、指定されたUUIDを持つデータ暗号化キーから削除します。 データ暗号化キーは、データベース接続に関連付けられたキーヴォールトに存在する必要があります。

removeKeyAlternateName() の構文は次のとおりです。

keyVault = db.getMongo().getKeyVault()
keyVault.removeKeyAlternateName(
  UUID("<UUID string>"),
  "keyAltName"
)
次の値を返します。keyAltNameを更新するのデータ暗号化のキー。

データ暗号化キーにUUID()が指定されていない場合は、 nullを返します。

動作

データベース接続にクライアント側のフィールドレベル暗号化を構成する必要があります

mongosh クライアント側のフィールド レベル暗号化メソッドでは、クライアント側のフィールド レベル暗号化が有効になっているデータベース接続が必要です。現在のデータベース接続がクライアント側のフィールド レベル暗号化を有効にして開始されなかった場合、次のいずれかが発生します。

  • Mongo()必要なクライアント側のフィールドレベル暗号化オプションとの接続を確立するには、mongosh から コンストラクターを使用します。Mongo()メソッドは、CMK(Customer Master Key)管理用に次のKMS ( KMS )プロバイダーをサポートしています。

    or

  • 必要なオプションとの接続を確立するには、 mongoshコマンドライン オプションを使用します。 コマンドライン オプションは、CMK 管理用のAmazon Web Services KMSプロバイダーのみをサポートしています。

次の例は、クライアント側のフィールドレベル暗号化の迅速な評価を目的としています。 サポートされている各KeyVault.removeKeyAlternateName() KMS プロバイダーで を使用する具体的な例については、「 暗号化キー管理 」を参照してください。

ローカルで管理されているキーに対してクライアント側のフィールドレベル暗号化を構成するには、次の手順に従います。

  • 基本的な64でエンコードされた96バイトの string を生成し、改行を含まない

  • キーを読み込むには、 mongoshを使用します。

export TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')")
mongosh --nodb

生成されたローカルキーstringを使用して、クライアント側のフィールドレベル暗号化オブジェクトを作成します。

 var autoEncryptionOpts = {
   "keyVaultNamespace" : "encryption.__dataKeys",
   "kmsProviders" : {
     "local" : {
       "key" : BinData(0, process.env["TEST_LOCAL_KEY"])
     }
   }
 }

データベース接続を作成するには、クライアント側のフィールドレベル暗号化オプションが構成されたMongo()コンストラクターを使用します。 mongodb://myMongo.example.net URI を、ターゲットクラスターの接続string URIに置き換えます。

encryptedClient = Mongo(
  "mongodb://myMongo.example.net:27017/?replSetName=myMongo",
   autoEncryptionOpts
)

keyVaultオブジェクトを取得し、 KeyVault.removeKeyAlternateName()メソッドを使用して、 UUIDと一致するデータ暗号化キーから指定されたキーの代替名を削除します。

keyVault = encryptedClient.getKeyVault()
keyVault.removeKeyAlternateName(UUID("b4b41b33-5c97-412e-a02b-743498346079"),"Other-Data-Encryption-Key")

成功した場合、 removeKeyAlternateName()keyAltNameを更新するにデータ暗号化のキーを返します。

{
    "_id" : UUID("b4b41b33-5c97-412e-a02b-743498346079"),
    "keyMaterial" : BinData(0,"PXRsLOAYxhzTS/mFQAI8486da7BwZgqA91UI7NKz/T/AjB0uJZxTvhvmQQsKbCJYsWVS/cp5Rqy/FUX2zZwxJOJmI3rosPhzV0OI5y1cuXhAlLWlj03CnTcOSRzE/YIrsCjMB0/NyiZ7MRWUYzLAEQnE30d947XCiiHIb8a0kt2SD0so8vZvSuP2n0Vtz4NYqnzF0CkhZSWFa2e2yA=="),
    "creationDate" : ISODate("2019-08-12T21:21:30.569Z"),
    "updateDate" : ISODate("2019-08-12T21:21:30.569Z"),
    "status" : 0,
    "version" : NumberLong(0),
    "masterKey" : {
        "provider" : "local"
    },
    "keyAltNames" : [
        "ssn-encryption-key"
    ]
}

戻る

KeyVault.getKeyByAltName

項目一覧