getKeyVault()
getKeyVault()현재 데이터베이스 연결에 대한
KeyVault객체를 반환합니다.KeyVault객체는 클라이언트 측 필드 레벨 암호화를 위한 데이터 암호화 키 관리를 지원합니다.getKeyVault()의 구문은 다음과 같습니다:keyVault = db.getMongo().getKeyVault(); 반환합니다: 현재 데이터베이스 연결에 대한 KeyVault객체입니다.
KeyVault 객체를 사용하여 다음 데이터 암호화 키 관리 메서드에 액세스합니다.
행동
데이터베이스 연결 시 클라이언트 측 필드 레벨 암호화 구성 필요
다음 예에서는 클라이언트 사이드 필드 수준 암호화 구성을 위해 로컬로 managed 키 를 사용합니다.
mongosh 클라이언트 사이드 필드 레벨 암호화 메서드를 사용하려면 클라이언트 사이드 필드 레벨 암호화를 활성화한 데이터베이스 연결이 필요합니다. 클라이언트 사이드 필드 레벨 암호화가 활성화된 상태에서 현재 데이터베이스 연결이 시작되지 않은 경우 다음 중 하나를 수행하세요.
Key Vault의 고유 부분 인덱스
메서드는 가 존재하는 문서에 대해서만 부분 인덱스 필터를 사용하여 필드에 고유 getKeyVault() 인덱스 를 자동으로 생성합니다.keyAltNames keyAltNames getKeyVault() 는 키 볼트 컬렉션에 이 인덱스를 생성합니다. 이렇게 하면 동일한 Key Vault에 있는 두 개의 데이터 암호화 키가 동일한 키 대체 이름을 갖는 것을 방지할 수 있으므로 암호화/복호화에 데이터 암호화 키가 적합한지에 대한 모호성을 방지할 수 있습니다.
경고
getKeyVault() 에 의해 생성된 고유 인덱스를 삭제하지 마세요. 클라이언트 측 필드 레벨 암호화 작업은 keyAltNames 의 서버 적용 고유성에 따라 달라집니다. 인덱스를 제거하면 예기치 않거나 예측할 수 없는 동작이 발생할 수 있습니다.
예제
다음 예에서는 클라이언트 사이드 필드 수준 암호화 구성을 위해 로컬로 managed 키 를 사용합니다.
로컬로 관리되는 키에 클라이언트 사이드 필드 레벨 암호화를 구성하는 방법:
줄 바꿈 없이 기본64-인코딩된 96-바이트 문자열을 생성합니다.
키를 로드하려면
mongosh를 사용하세요.
export TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')") mongosh --nodb
생성된 로컬 키 문자열을 사용하여 클라이언트 사이드 필드 수준 암호화 객체를 생성합니다.
var autoEncryptionOpts = { "keyVaultNamespace" : "encryption.__dataKeys", "kmsProviders" : { "local" : { "key" : BinData(0, process.env["TEST_LOCAL_KEY"]) } } }
Mongo() 생성자를 클라이언트 사이드 필드 수준 암호화 옵션과 함께 사용하여 데이터베이스 연결을 생성합니다. mongodb://myMongo.example.net URI를 대상 cluster의 연결 문자열 URI 로 바꿉니다.
encryptedClient = Mongo( "mongodb://myMongo.example.net:27017/?replSetName=myMongo", autoEncryptionOpts )
getKeyVault() 메서드를 사용하여 키 볼트 객체를 검색합니다.
keyVault = encryptedClient.getKeyVault()
클라이언트 사이드 필드 레벨 암호화가 활성화된 상태에서 MongoDB 연결을 시작하는 방법에 대한 전체 설명서는 Mongo() 를 참조하세요.