KeyVault.addKeyAlternateName()

이 페이지의 내용

행동

예제

KeyVault.addKeyAlternateName(UUID, keyAltName)

UUID 를 사용하여 데이터 암호화 키의 keyAltNames 배열에 keyAltName 를 추가합니다.

keyAltName 키 볼트의 모든 키 중에서 고유 해야 합니다 . 메서드는 가getKeyVault() 존재하는 문서에 keyAltNames 대해서만 부분 인덱스 필터를 사용하여 필드에 고유 인덱스 를 자동으로 keyAltNames 생성합니다.

addKeyAlternateName() 의 구문은 다음과 같습니다:

keyVault = db.getMongo().getKeyVault()
keyVault.addKeyAlternateName(
  UUID("<UUID string>"),
  "keyAlternateName"
)

반환합니다:	데이터 암호화 키 문서의 이전 버전을 반환합니다. 지정된 `UUID()` 이 있는 데이터 암호화 키가 없는 경우 `null` 을 반환합니다.

행동

데이터베이스 연결 시 클라이언트 측 필드 레벨 암호화 구성 필요

mongo 클라이언트 사이드 필드 수준 암호화 방법을 사용하려면 클라이언트 사이드 필드 수준 암호화가 활성화된 데이터베이스 연결이 필요합니다. 클라이언트 사이드 필드 수준 암호화가 활성화된 상태에서 현재 데이터베이스 연결이 시작되지 않은 경우 다음 중 하나를 수행하세요.

shell의 생성자를 Mongo() mongo 사용하여 필요한 클라이언트 사이드 필드 수준 암호화 옵션과 연결을 설정합니다. Mongo() 메서드는 고객 마스터 키(CMK) 관리를 위해 다음과 같은 키 관리 서비스(KMS) 공급자를 지원합니다.
또는
mongo shell 명령줄 옵션 을 사용하여 필수 옵션과의 연결을 설정합니다. 명령줄 옵션은 고객 마스터 키 관리를 위한 Amazon Web Services KMS 공급자만 지원합니다.

예제

다음 예제는 클라이언트 사이드 필드 수준 암호화를 빠르게 평가하기 위한 것입니다. 지원되는 KeyVault.addKeyAlternateName() 각 KMS 제공자와 함께 를 사용하는 구체적인 예 는 데이터 암호화 키의 대체 이름 관리를 참조하세요.

로컬로 managed 키에 대해 클라이언트 사이드 필드 수준 암호화를 구성하려면 줄바꿈 없이 base64로 인코딩된 96바이트 문자열을 지정해야 합니다. 다음 작업은 명시된 요구 사항을 충족하는 키를 생성하고 이를 mongo shell에 로드합니다.

TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')")
mongosh --nodb --shell --eval "var TEST_LOCAL_KEY='$TEST_LOCAL_KEY'"

생성된 로컬 키 문자열을 사용하여 클라이언트 사이드 필드 수준 암호화 객체를 생성합니다.

var ClientSideFieldLevelEncryptionOptions = {
  "keyVaultNamespace" : "encryption.__dataKeys",
  "kmsProviders" : {
    "local" : {
      "key" : BinData(0, TEST_LOCAL_KEY)
    }
  }
}

Mongo() 생성자를 사용하여 클라이언트 사이드 필드 수준 암호화 옵션으로 데이터베이스 연결을 생성합니다. mongodb://myMongo.example.net URI를 대상 cluster의 연결 문자열 URI 로 바꿉니다.

encryptedClient = Mongo(
  "mongodb://myMongo.example.net:27017/?replSetName=myMongo",
  ClientSideFieldLevelEncryptionOptions
)

KeyVault 객체를 검색하고 KeyVault.addKeyAlternateName() 메서드를 사용하여 UUID 과 일치하는 데이터 암호화 키에 새 키 대체 이름을 추가합니다. 지정된 키 대체 이름은 고유 해야 합니다.

keyVault = encryptedClient.getKeyVault()
keyVault.addKeyAlternateName(UUID("b4b41b33-5c97-412e-a02b-743498346079"),"Other-Data-Encryption-Key")

성공하면 addKeyAlternateName() 는 이전 버전의 데이터 암호화 키 문서를 반환합니다.

{
    "_id" : UUID("b4b41b33-5c97-412e-a02b-743498346079"),
    "keyMaterial" : BinData(0,"PXRsLOAYxhzTS/mFQAI8486da7BwZgqA91UI7NKz/T/AjB0uJZxTvhvmQQsKbCJYsWVS/cp5Rqy/FUX2zZwxJOJmI3rosPhzV0OI5y1cuXhAlLWlj03CnTcOSRzE/YIrsCjMB0/NyiZ7MRWUYzLAEQnE30d947XCiiHIb8a0kt2SD0so8vZvSuP2n0Vtz4NYqnzF0CkhZSWFa2e2yA=="),
    "creationDate" : ISODate("2019-08-12T21:21:30.569Z"),
    "updateDate" : ISODate("2019-08-12T21:21:30.569Z"),
    "status" : 0,
    "version" : NumberLong(0),
    "masterKey" : {
        "provider" : "local"
    },
    "keyAltNames" : [
    ]
}

데이터 암호화 키 문서의 현재 버전을 보려면 반환된 KeyVault.getKey() _id 문서의 을 지정하는 을 사용 하거나 중 KeyVault.getKeyByAltName() 하나를 지정하는 를 keyAltNames 사용합니다.

팁

다음도 참조하세요.

데이터 암호화 키의 대체 이름 관리

돌아가기

getKeyVault

KeyVault.createKey