getClientEncryption()
getClientEncryption()
現在のデータベース コレクションの
ClientEncryption
オブジェクトを返します。ClientEncryption
オブジェクトは、 クライアント側フィールドレベル暗号化でフィールド値の明示的(手動)暗号化と復号化をサポートします。次の値を返します。 現在のデータベース接続の ClientEncryption
オブジェクト。
互換性
このコマンドは、次の環境でホストされている配置で使用できます。
MongoDB Atlas はクラウドでの MongoDB 配置のためのフルマネージド サービスです
MongoDB Enterprise: サブスクリプションベースの自己管理型 MongoDB バージョン
MongoDB Community: ソースが利用可能で、無料で使用できる自己管理型の MongoDB のバージョン
構文
getClientEncryption()
の構文は次のとおりです。
db.getMongo().getClientEncryption();
次の明示的な暗号化メソッドにアクセスするには、 ClientEncryption
オブジェクトを使用します。
動作
データベース接続でのクライアント側のフィールドレベル暗号化の有効化
mongosh
クライアント側のフィールド レベル暗号化メソッドでは、クライアント側のフィールド レベル暗号化が有効になっているデータベース接続が必要です。現在のデータベース接続がクライアント側のフィールド レベル暗号化を有効にして開始されなかった場合、次のいずれかが発生します。
Mongo()
必要なクライアント側のフィールドレベル暗号化オプションとの接続を確立するには、mongosh
から コンストラクターを使用します。Mongo()
メソッドは、CMK(Customer Master Key)管理のために次のKMS ( KMS )プロバイダーをサポートしています。or
必要なオプションとの接続を確立するには、
mongosh
コマンドライン オプションを使用します。 コマンドライン オプションは、CMK 管理用のAmazon Web Services KMSプロバイダーのみをサポートしています。
例
メソッドは、 getKeyVault()
が存在するドキュメントのみを対象とする 部分インデックス keyAltNames
フィルターを使用して、 フィールドに 一意のインデックスkeyAltNames
を自動的に作成します。getKeyVault()
は、キーヴォールト コレクションにこのインデックスを作成します。 これにより、同じキーヴォールト内の 2 つのデータ暗号化キーが同じキーの別名を持つことがなくなり、どのデータ暗号化キーが暗号化および復号化に適しているかがあいまいになることがなくなります。
警告
getKeyVault()
によって作成された一意のインデックスを削除しないでください。 クライアント側のフィールドレベル暗号化操作は、 keyAltNames
のサーバー強制一意性に依存します。 インデックスを削除すると、予期しない、または予測できない動作が発生する可能性があります。
次の例では、クライアント側のフィールドレベル暗号化構成にローカルで管理されている KMS を使用しています。
ローカルで管理されているキーに対してクライアント側のフィールドレベル暗号化を構成するには、次の手順に従います。
基本的な64でエンコードされた96バイトの string を生成し、改行を含まない
キーを読み込むには、
mongosh
を使用します。
export TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')") mongosh --nodb
生成されたローカルキーstringを使用して、クライアント側のフィールドレベル暗号化オブジェクトを作成します。
var autoEncryptionOpts = { "keyVaultNamespace" : "encryption.__dataKeys", "kmsProviders" : { "local" : { "key" : BinData(0, process.env["TEST_LOCAL_KEY"]) } } }
データベース接続を作成するには、クライアント側のフィールドレベル暗号化オプションが構成されたMongo()
コンストラクターを使用します。 mongodb://myMongo.example.net
URI を、ターゲットクラスターの接続string URIに置き換えます。
encryptedClient = Mongo( "mongodb://myMongo.example.net:27017/?replSetName=myMongo", autoEncryptionOpts )
クライアント暗号化オブジェクトを取得するには、 getClientEncryption()
メソッドを使用します。
clientEncryption = encryptedClient.getClientEncryption()
クライアント側のフィールドレベル暗号化を有効にして MongoDB 接続を開始する方法に関する詳細なドキュメントについては、 Mongo()
を参照してください。