KeyVault.addKeyAlternateName()

項目一覧

互換性

構文
動作
例

KeyVault.addKeyAlternateName(UUID, keyAltName)

UUIDを使用してデータ暗号化キーのkeyAltNames配列にkeyAltNameを追加します。

keyAltName は、キーヴォールト内のすべてのキー間で一意である必要があります。 getKeyVault()keyAltNamesメソッドは、keyAltNames が存在するドキュメントのみの部分インデックスフィルターを使用して、フィールドに一意のインデックスを自動的に作成します。

次の値を返します。	データ暗号化キードキュメントの前のバージョンを返します。データ暗号化キーに`UUID()`が指定されていない場合は、 `null`を返します。

互換性

このコマンドは、次の環境でホストされている配置で使用できます。

MongoDB Atlas はクラウドでの MongoDB 配置のためのフルマネージドサービスです

MongoDB Enterprise: サブスクリプションベースの自己管理型 MongoDB バージョン
MongoDB Community: ソースが利用可能で、無料で使用できる自己管理型の MongoDB のバージョン

構文

addKeyAlternateName() の構文は次のとおりです。

keyVault = db.getMongo().getKeyVault()
keyVault.addKeyAlternateName(
   UUID("<UUID string>"),
   "keyAlternateName"
)

動作

データベース接続にクライアント側のフィールドレベル暗号化を構成する必要があります

mongosh クライアント側のフィールドレベル暗号化メソッドでは、クライアント側のフィールドレベル暗号化が有効になっているデータベース接続が必要です。現在のデータベース接続がクライアント側のフィールドレベル暗号化を有効にして開始されなかった場合、次のいずれかが発生します。

Mongo()必要なクライアント側のフィールドレベル暗号化オプションとの接続を確立するには、mongosh からコンストラクターを使用します。Mongo()メソッドは、CMK（Customer Master Key）管理のために次のKMS （ KMS ）プロバイダーをサポートしています。
or
必要なオプションとの接続を確立するには、 mongoshコマンドラインオプションを使用します。コマンドラインオプションは、CMK 管理用のAmazon Web Services KMSプロバイダーのみをサポートしています。

例

次の例は、クライアント側のフィールドレベル暗号化の迅速な評価を目的としています。サポートされている各KeyVault.addKeyAlternateName() KMS プロバイダーでを使用する具体的な例については、「暗号化キー管理」を参照してください。

mongosh を起動する

mongoshクライアントを起動します。

mongosh --nodb

キーの生成

ローカルで管理されているキーのクライアント側フィールドレベル暗号化を構成するには、改行を含まない base64 でエンコードされた 96 バイトのstringを生成します。

const TEST_LOCAL_KEY = require("crypto").randomBytes(96).toString("base64")

クライアント側のフィールドレベル暗号化オプションの作成

生成されたローカルキーstringを使用して、クライアント側のフィールドレベル暗号化オプションを作成します。

 var autoEncryptionOpts = {
   "keyVaultNamespace" : "encryption.__dataKeys",
   "kmsProviders" : {
     "local" : {
       "key" : BinData(0, TEST_LOCAL_KEY)
     }
   }
 }

暗号化されたクライアントの作成

データベース接続を作成するには、クライアント側のフィールドレベル暗号化オプションが構成されたMongo()コンストラクターを使用します。 mongodb://myMongo.example.net URI を、ターゲットクラスターの接続string URIに置き換えます。

encryptedClient = Mongo(
  "mongodb://myMongo.example.net:27017/?replSetName=myMongo",
   autoEncryptionOpts
)

KeyVaultオブジェクトを取得し、 KeyVault.addKeyAlternateName()メソッドを使用して、 UUIDと一致するデータ暗号化キーに新しいキーの代替名を追加します。指定するキーの代替名は一意である必要があります。

keyVault = encryptedClient.getKeyVault()
keyVault.addKeyAlternateName(UUID("b4b41b33-5c97-412e-a02b-743498346079"),"Other-Data-Encryption-Key")

成功した場合、 addKeyAlternateName()は前のバージョンのデータ暗号化キードキュメントを返します。

{
    "_id" : UUID("b4b41b33-5c97-412e-a02b-743498346079"),
    "keyMaterial" : BinData(0,"PXRsLOAYxhzTS/mFQAI8486da7BwZgqA91UI7NKz/T/AjB0uJZxTvhvmQQsKbCJYsWVS/cp5Rqy/FUX2zZwxJOJmI3rosPhzV0OI5y1cuXhAlLWlj03CnTcOSRzE/YIrsCjMB0/NyiZ7MRWUYzLAEQnE30d947XCiiHIb8a0kt2SD0so8vZvSuP2n0Vtz4NYqnzF0CkhZSWFa2e2yA=="),
    "creationDate" : ISODate("2019-08-12T21:21:30.569Z"),
    "updateDate" : ISODate("2019-08-12T21:21:30.569Z"),
    "status" : 0,
    "version" : NumberLong(0),
    "masterKey" : {
        "provider" : "local"
    },
    "keyAltNames" : [
    ]
}

データ暗号化キードキュメントの現在のバージョンを表示するには、返されたドキュメントの_idを指定するKeyVault.getKey()を使用するか、 keyAltNamesの 1 つを指定するKeyVault.getKeyByAltName()を使用します。

Tip

以下も参照してください。

暗号化キー管理

戻る

KeyVault.addKeyName

KeyVault.createDataKey