Docs Menu
Docs Home
/
MongoDBマニュアル
/ / /

getClientEncryption()

項目一覧

  • 互換性
  • 構文
  • 動作
getClientEncryption()

現在のデータベース コレクションのClientEncryptionオブジェクトを返します。 ClientEncryptionオブジェクトは、 クライアント側フィールドレベル暗号化でフィールド値の明示的(手動)暗号化と復号化をサポートします。

次の値を返します。現在のデータベース接続のClientEncryptionオブジェクト。

このコマンドは、次の環境でホストされている配置で使用できます。

  • MongoDB Atlas はクラウドでの MongoDB 配置のためのフルマネージド サービスです

  • MongoDB Enterprise: サブスクリプションベースの自己管理型 MongoDB バージョン

  • MongoDB Community: ソースが利用可能で、無料で使用できる自己管理型の MongoDB のバージョン

getClientEncryption() の構文は次のとおりです。

db.getMongo().getClientEncryption();

次の明示的な暗号化メソッドにアクセスするには、 ClientEncryptionオブジェクトを使用します。

mongosh クライアント側のフィールド レベル暗号化メソッドでは、クライアント側のフィールド レベル暗号化が有効になっているデータベース接続が必要です。現在のデータベース接続がクライアント側のフィールド レベル暗号化を有効にして開始されなかった場合、次のいずれかが発生します。

メソッドは、 getKeyVault()が存在するドキュメントのみを対象とする 部分インデックス keyAltNamesフィルターを使用して、 フィールドに 一意のインデックスkeyAltNames を自動的に作成します。getKeyVault()は、キーヴォールト コレクションにこのインデックスを作成します。 これにより、同じキーヴォールト内の 2 つのデータ暗号化キーが同じキーの別名を持つことがなくなり、どのデータ暗号化キーが暗号化および復号化に適しているかがあいまいになることがなくなります。

警告

getKeyVault()によって作成された一意のインデックスを削除しないでください。 クライアント側のフィールドレベル暗号化操作は、 keyAltNamesのサーバー強制一意性に依存します。 インデックスを削除すると、予期しない、または予測できない動作が発生する可能性があります。

次の例では、クライアント側のフィールドレベル暗号化構成にローカルで管理されている KMS を使用しています。

ローカルで管理されているキーに対してクライアント側のフィールドレベル暗号化を構成するには、次の手順に従います。

  • 基本的な64でエンコードされた96バイトの string を生成し、改行を含まない

  • キーを読み込むには、 mongoshを使用します。

export TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')")
mongosh --nodb

生成されたローカルキーstringを使用して、クライアント側のフィールドレベル暗号化オブジェクトを作成します。

var autoEncryptionOpts = {
"keyVaultNamespace" : "encryption.__dataKeys",
"kmsProviders" : {
"local" : {
"key" : BinData(0, process.env["TEST_LOCAL_KEY"])
}
}
}

データベース接続を作成するには、クライアント側のフィールドレベル暗号化オプションが構成されたMongo()コンストラクターを使用します。 mongodb://myMongo.example.net URI を、ターゲットクラスターの接続string URIに置き換えます。

encryptedClient = Mongo(
"mongodb://myMongo.example.net:27017/?replSetName=myMongo",
autoEncryptionOpts
)

クライアント暗号化オブジェクトを取得するには、 getClientEncryption()メソッドを使用します。

clientEncryption = encryptedClient.getClientEncryption()

クライアント側のフィールドレベル暗号化を有効にして MongoDB 接続を開始する方法に関する詳細なドキュメントについては、 Mongo()を参照してください。

戻る

ClientEncryption.decrypt