Docs Menu
Docs Home
/
MongoDBマニュアル
/ / /

KeyVault.createKey()

項目一覧

  • 互換性
  • 構文
  • 動作
KeyVault.createKey(keyManagementService, customerMasterKey, ["keyAltName"])

データベース接続に関連付けられたキーヴォールトにデータ暗号化キーを追加します。 クライアント側フィールドレベル暗号化は、フィールド値の暗号化と復号化をサポートするためにデータ暗号化キーを使用します。

次の値を返します。作成されたデータ暗号化キーのUUID一意の識別子。

このコマンドは、次の環境でホストされている配置で使用できます。

  • MongoDB Atlas はクラウドでの MongoDB 配置のためのフルマネージド サービスです

  • MongoDB Enterprise: サブスクリプションベースの自己管理型 MongoDB バージョン

  • MongoDB Community: ソースが利用可能で、無料で使用できる自己管理型の MongoDB のバージョン

createKey() の構文は次のとおりです。

keyVault = db.getMongo().getKeyVault()
keyVault.createKey(
keyManagementService,
customerMasterKey,
[ "keyAltName" ]
)
Parameter
タイプ
説明

keyManagementService

string

必須

CMK(Customer Master Key)の取得に使用するKMS ( KMS )。 次のパラメータを受け入れます。

database connectionが指定された KMS で構成されていない場合、データ暗号化キーの作成は失敗します。

customerMasterKey

文字列またはドキュメント

データ暗号化キーの暗号化に使用する CMK(Customer Master Key)。 keyManagementServiceawsazure 、またはgcpの場合に必須です。

KMS プロバイダーに応じて、次のように CMK を指定します。

createKey()は、指定された CMK を使用してデータ暗号化のキーマテリアルを暗号化することを要求します。 CMK が存在しない場合、または 構成に CMK AutoEncryptionOptscreateKey()を使用するのに十分な特権がない場合、 はエラーを返します。

このパラメータは、 keyManagementServicelocalである場合は効果がなく、省略しても問題ありません。

keyAltName

文字列の配列

任意

データ暗号化キーの別名。 特定のデータ暗号化キーを見つけやすくするには、またはコメントに類似するものとしてkeyAltNameを使用します。

メソッドは、 getKeyVault()が存在するドキュメントのみを対象とする 部分インデックス keyAltNamesフィルターを使用して、 フィールドに 一意のインデックスkeyAltNames を自動的に作成します。

options

ドキュメント

任意

新しいキーのオプションを指定するドキュメント。 optionsには次のフィールドがあります:

  • masterKey: データを暗号化するための新しいマスター キー。

  • keyAltNames: マスターキーごとに 1 つの代替名の配列。

  • keyMaterial: キーを作成するために使用されるバインデータ。

mongosh クライアント側のフィールド レベル暗号化メソッドでは、クライアント側のフィールド レベル暗号化が有効になっているデータベース接続が必要です。現在のデータベース接続がクライアント側のフィールド レベル暗号化を有効にして開始されなかった場合、次のいずれかが発生します。

次の例は、クライアント側のフィールドレベル暗号化の迅速な評価を目的としています。 サポートされている各KeyVault.createKey() KMS プロバイダーで を使用する具体的な例については、「 データキーの作成 」を参照してください。

1

mongoshクライアントを起動します。

mongosh --nodb
2

ローカルで管理されているキーのクライアント側フィールドレベル暗号化を構成するには、改行を含まない base64 でエンコードされた 96 バイトのstringを生成します。

const TEST_LOCAL_KEY = require("crypto").randomBytes(96).toString("base64")
3

生成されたローカルキーstringを使用して、クライアント側のフィールドレベル暗号化オプションを作成します。

var autoEncryptionOpts = {
"keyVaultNamespace" : "encryption.__dataKeys",
"kmsProviders" : {
"local" : {
"key" : BinData(0, TEST_LOCAL_KEY)
}
}
}
4

データベース接続を作成するには、クライアント側のフィールドレベル暗号化オプションが構成されたMongo()コンストラクターを使用します。 mongodb://myMongo.example.net URI を、ターゲットクラスターの接続string URIに置き換えます。

encryptedClient = Mongo(
"mongodb://myMongo.example.net:27017/?replSetName=myMongo",
autoEncryptionOpts
)

keyVaultオブジェクトを取得し、 KeyVault.createKey()メソッドを使用して、ローカルで管理されているキーを使用して新しいデータ暗号化キーを作成します。

keyVault = encryptedClient.getKeyVault()
keyVault.createKey("local", ["data-encryption-key"])

成功した場合、 createKey()は新しいデータ暗号化キーのUUIDを返します。 新しいデータ暗号化キー ドキュメントをキーヴォールトから検索するには、次のいずれかを実行します。

  • getKey()を使用して、 UUIDによって作成されたキーを取得します。

    または

  • 別名でキーを検索するには、 getKeyByAltName()を使用します。

戻る

KeyVault.createDataKey