KeyVault.createKey()

項目一覧

互換性
構文
動作
例

KeyVault.createKey(keyManagementService, customerMasterKey, ["keyAltName"])

Adds a data encryption key to the key vault associated to the database connection. クライアントサイドのフィールドレベル暗号化 uses data encryption keys for supporting encryption and decryption of field values.

次の値を返します。	The `UUID` unique identifier of the created data encryption key.

互換性

このコマンドは、次の環境でホストされている配置で使用できます。

MongoDB Atlas はクラウドでの MongoDB 配置のためのフルマネージドサービスです

MongoDB Enterprise: サブスクリプションベースの自己管理型 MongoDB バージョン
MongoDB Community: ソースが利用可能で、無料で使用できる自己管理型の MongoDB のバージョン

構文

createKey()の構文は次のとおりです。

keyVault = db.getMongo().getKeyVault()
keyVault.createKey(
  keyManagementService,
  customerMasterKey,
  [ "keyAltName" ]
)

Parameter	タイプ	説明
`keyManagementService`	string	必須 The Key Management Service (KMS) to use for retrieving the Customer Master Key (CMK). Accepts the following parameters: `aws` for Amazon Web Services KMS. Requires specifying a Customer Master Key (CMK) string for `customerMasterKey`. `azure` for Azure Key Vault. Requires specifying a Customer Master Key (CMK) document for `customerMasterKey`. バージョン 5.0 で追加 `gcp` for Google Cloud Platform KMS. Requires specifying a Customer Master Key (CMK) document for `customerMasterKey`. バージョン 5.0 で追加 `local` for a locally managed key. If the `database connection` was not configured with the specified KMS, data encryption key creation fails.
`customerMasterKey`	文字列またはドキュメント	The Customer Master Key (CMK) to use for encrypting the data encryption key. Required if `keyManagementService` is `aws`, `azure`, or `gcp`. Provide the CMK as follows depending on your KMS provider: For the Amazon Web Services KMS, specify the full Amazon Resource Name (ARN) of the master key as a single string. For the Azure Key Vault KMS, specify a document containing the following key value pairs: `keyName` - The Azure Key Vault Name `keyVaultEndpoint` - The DNS name of the Azure Key Vault to use `keyVersion` - Optional. The version of the key specified in `keyName`, if applicable バージョン 5.0 で追加 For the Google Cloud Platform KMS, specify a document containing the following key value pairs: `projectId` - The GCP project name `location` - The location of the KMS keyring `keyRing` - The name of the KMS keyring (often 'global') `keyName` - The name of the key to use `keyVersion` - Optional. The version of the key specified in `keyName`, if applicable バージョン 5.0 で追加 `createKey()` requests that the KMS encrypt the data encryption key material using the specified CMK. If the CMK does not exist or if the `AutoEncryptionOpts` configuration does not have sufficient privileges to use the CMK, `createKey()` returns an error. This parameter has no effect if `keyManagementService` is `local` and can be safely omitted.
`keyAltName`	array of strings	任意 The alternative name for the data encryption key. Use `keyAltName` to improve findability of a specific data encryption key, or as an analog to a comment. The `getKeyVault()` method automatically creates a 一意なインデックス on the `keyAltNames` field with a partial index filter for only documents where `keyAltNames` exists.
`options`	ドキュメント	任意 A document that specifies options for the new key. `options` has the following fields: `masterKey`: the new master key to encrypt data. `keyAltNames`: an array of alternate names, one per master key. `keyMaterial`: bindata used to create the key.

動作

データベース接続にクライアント側のフィールドレベル暗号化を構成する必要があります

mongosh クライアント側のフィールドレベル暗号化メソッドでは、クライアント側のフィールドレベル暗号化が有効になっているデータベース接続が必要です。現在のデータベース接続がクライアント側のフィールドレベル暗号化を有効にして開始されなかった場合、次のいずれかが発生します。

Mongo()必要なクライアント側のフィールドレベル暗号化オプションとの接続を確立するには、mongosh からコンストラクターを使用します。Mongo()メソッドは、CMK（Customer Master Key）管理のために次のKMS （ KMS ）プロバイダーをサポートしています。
or
必要なオプションとの接続を確立するには、 mongoshコマンドラインオプションを使用します。コマンドラインオプションは、CMK 管理用のAmazon Web Services KMSプロバイダーのみをサポートしています。

例

The following example is intended for rapid evaluation of client-side field level encryption. For specific examples of using KeyVault.createKey() with each supported KMS provider, see Create a Data Key.

mongosh を起動する

mongoshクライアントを起動します。

mongosh --nodb

キーの生成

ローカルで管理されているキーのクライアント側フィールドレベル暗号化を構成するには、改行を含まない base64 でエンコードされた 96 バイトのstringを生成します。

const TEST_LOCAL_KEY = require("crypto").randomBytes(96).toString("base64")

クライアント側のフィールドレベル暗号化オプションの作成

生成されたローカルキーstringを使用して、クライアント側のフィールドレベル暗号化オプションを作成します。

 var autoEncryptionOpts = {
   "keyVaultNamespace" : "encryption.__dataKeys",
   "kmsProviders" : {
     "local" : {
       "key" : BinData(0, TEST_LOCAL_KEY)
     }
   }
 }

暗号化されたクライアントの作成

データベース接続を作成するには、クライアント側のフィールドレベル暗号化オプションが構成されたMongo()コンストラクターを使用します。 mongodb://myMongo.example.net URI を、ターゲットクラスターの接続string URIに置き換えます。

encryptedClient = Mongo(
  "mongodb://myMongo.example.net:27017/?replSetName=myMongo",
   autoEncryptionOpts
)

Retrieve the keyVault object and use the KeyVault.createKey() method to create a new data encryption key using the locally managed key:

keyVault = encryptedClient.getKeyVault()
keyVault.createKey("local", ["data-encryption-key"])

If successful, createKey() returns the UUID of the new data encryption key. To retrieve the new data encryption key document from the key vault, either:

使用 getKey() to retrieve the created key by UUID.
または
使用 getKeyByAltName() to retrieve the key by its alternate name.

戻る

KeyVault.createDataKey

KeyVault.deleteKey