ClientEncryption.encrypt()

이 페이지의 내용

행동

예시

ClientEncryption.encrypt(encryptionKeyId, value, encryptionAlgorithm)

ClientEncryption.encrypt() 은 지정된 encryptionKeyId 및 encryptionAlgorithm 를 사용하여 value 를 암호화합니다. encrypt() 는 필드 값의 명시적(수동) 암호화를 지원합니다.

encrypt() 의 구문은 다음과 같습니다:

clientEncryption = db.getMongo().getClientEncryption()
clientEncryption.encrypt(
  encryptionKeyId,
  value,
  encryptionAlgorithm
)

Parameter	유형	설명
`encryptionKeyId`	`UUID`	`value`를 암호화하는 데 사용할 데이터 암호화 키입니다. UUID 는 특정 데이터 암호화 키 를 식별하는 하위 유형 `4` 이 있는 BSON `binary data` 객체 입니다. 데이터베이스 연결에 대해 구성된 키 볼트에 데이터 암호화 키 가 없는 경우 `encrypt()` 에서 오류를 반환합니다. 키 볼트 및 데이터 암호화 키에 대한 자세한 내용은 Encryption Key Vault 를 참조하세요.
`value`	지원되지 않는 BSON types 를 참조하세요.	암호화할 값입니다.
`encryptionAlgorithm`	문자열	`value` 암호화에 사용할 암호화 알고리즘 입니다. `AEAD_AES_256_CBC_HMAC_SHA_512-Deterministic` `AEAD_AES_256_CBC_HMAC_SHA_512-Random` 지원되는 암호화 알고리즘에 대한 전체 문서는 암호화 알고리즘을 참조하세요 .

반환합니다:	하위 유형이 6 인 `binary data` 객체 .

행동

데이터베이스 연결에서 클라이언트 측 필드 레벨 암호화 활성화

mongo 클라이언트 사이드 필드 수준 암호화 방법을 사용하려면 클라이언트 사이드 필드 수준 암호화가 활성화된 데이터베이스 연결이 필요합니다. 클라이언트 사이드 필드 수준 암호화가 활성화된 상태에서 현재 데이터베이스 연결이 시작되지 않은 경우 다음 중 하나를 수행하세요.

shell의 생성자를 Mongo() mongo 사용하여 필요한 클라이언트 사이드 필드 수준 암호화 옵션과 연결을 설정합니다. Mongo() 메서드는 고객 마스터 키(CMK) 관리를 위해 다음과 같은 키 관리 서비스(KMS) 공급자를 지원합니다.
or
mongo shell 명령줄 옵션 을 사용하여 필수 옵션과의 연결을 설정합니다. 명령줄 옵션은 고객 마스터 키 관리를 위한 Amazon Web Services KMS 공급자만 지원합니다.

지원되지 않는 BSON type

encrypt() 는 BSON types 다음 의 값 암호화를 지원하지 않습니다 .

minKey
maxKey
null
undefined

AEAD_AES_256_CBC_HMAC_SHA_512-Deterministic 를 사용하여 필드를 암호화하는 경우 encrypt() 는 다음 BSON types를 지원하지 않습니다 .

double
decimal128
bool
object
array

예시

다음 예에서는 클라이언트 사이드 필드 수준 암호화 구성을 위해 로컬로 managed KMS를 사용합니다.

로컬로 managed 키에 대해 클라이언트 사이드 필드 수준 암호화를 구성하려면 줄바꿈 없이 base64로 인코딩된 96바이트 문자열을 지정해야 합니다. 다음 작업은 명시된 요구 사항을 충족하는 키를 생성하고 이를 mongo shell에 로드합니다.

TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')")
mongosh --nodb --shell --eval "var TEST_LOCAL_KEY='$TEST_LOCAL_KEY'"

생성된 로컬 키 문자열을 사용하여 클라이언트 사이드 필드 수준 암호화 객체를 생성합니다.

var ClientSideFieldLevelEncryptionOptions = {
  "keyVaultNamespace" : "encryption.__dataKeys",
  "kmsProviders" : {
    "local" : {
      "key" : BinData(0, TEST_LOCAL_KEY)
    }
  }
}

Mongo() 생성자를 사용하여 클라이언트 사이드 필드 수준 암호화 옵션으로 데이터베이스 연결을 생성합니다. mongodb://myMongo.example.net URI를 대상 cluster의 연결 문자열 URI 로 바꿉니다.

encryptedClient = Mongo(
  "mongodb://myMongo.example.net:27017/?replSetName=myMongo",
  ClientSideFieldLevelEncryptionOptions
)

ClientEncryption 객체를 검색하고 ClientEncryption.encrypt() 메서드를 사용하여 특정 데이터 암호화 키 UUID 및 암호화 알고리즘을 사용하여 값을 암호화합니다.

clientEncryption = encryptedClient.getClientEncryption();
clientEncryption.encrypt(
  UUID("64e2d87d-f168-493c-bbdf-a394535a2cb9"),
  "123-45-6789",
  "AEAD_AES_256_CBC_HMAC_SHA_512-Random"
)

성공하면 encrypt() 는 암호화된 값을 반환합니다.

BinData(6,"AmTi2H3xaEk8u9+jlFNaLLkC3Q/+kmwDbbWrq+h9nuv9W+u7A5a0UnpULBNZH+Q21fAztPpU09wpKPrju9dKfpN1Afpj1/ZhFcH6LYZOWSBBOAuUNjPLxMNSYOOuITuuYWo=")

클라이언트 사이드 필드 레벨 암호화가 활성화된 상태에서 MongoDB 연결을 시작하는 방법에 대한 전체 설명서는 Mongo() 를 참조하세요.

돌아가기

클라이언트 사이드 필드 레벨 암호화

ClientEncryption.decrypt