getClientEncryption()
Nesta página
getClientEncryption()Retorna o objeto
ClientEncryptionpara a coleção de banco de dados de dados atual. O objetoClientEncryptionsuporta criptografia e descriptografia explícitas (manual) de valores de campo para a criptografia de nível de campo do campo do cliente.getClientEncryption()tem a seguinte sintaxe:db.getMongo().getClientEncryption(); Retorna: O objeto ClientEncryptionpara a conexão de banco de dados atual.
Use o objeto ClientEncryption para acessar os seguintes métodos de criptografia explícita:
Comportamento
Habilite criptografia no nível do campo do lado do cliente na conexão do banco de dados
Os métodos de criptografia de nível de campo do lado do cliente mongo exigem uma conexão de reconhecimento de data center com a criptografia de nível de campo do lado do cliente habilitada. Se o reconhecimento de data center atual não foi iniciado com a criptografia de nível de campo do lado do cliente habilitada:
Use o construtor
Mongo()do shellmongopara estabelecer uma conexão com as opções de criptografia de nível de campo do lado do cliente necessárias. O métodoMongo()suporta os seguintes fornecedores de serviço de gerenciamento de chaves (KMS) para gerenciamento da chave mestra do cliente (CMK):ou
Use as opções da linha
mongode comando do shell para estabelecer uma conexão com as opções exigidas. As opções de linha de comando são compatíveis apenas com o fornecedor KMS do Amazon Web Services para gerenciamento da chave mestra do cliente.
Exemplo
O método getKeyVault() cria automaticamente um índice único no campo keyAltNames com um filtro de índice parcial para somente documentos onde keyAltNames existe. getKeyVault() cria esse índice na collection de cofre de chaves. Isso impede que dois diretórios de dados no mesmo cofre de chaves tenham o mesmo nome alternativo de chave e, portanto, evita a ambiguidade em torno de qual diretório de dados é apropriado para criptografia/descriptografia.
Aviso
Não elimine o índice único criado por getKeyVault(). As operações de criptografia no nível do campo do lado do cliente dependem da singularidade imposta pelo servidor do keyAltNames. Remover o índice pode levar a um comportamento inesperado ou imprevisível.
O exemplo a seguir usa um KMS managed localmente para a configuração de criptografia no nível do campo do lado do cliente.
A configuração da criptografia em nível de campo do lado do cliente para uma chave managed localmente requer a especificação de uma cadeia de 96 bytes codificada em base64 sem quebras de linha. A operação a seguir gera uma chave que atende aos requisitos declarados e a carrega no shell mongo :
TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')") mongosh --nodb --shell --eval "var TEST_LOCAL_KEY='$TEST_LOCAL_KEY'"
Crie o objeto de criptografia no nível do campo do lado do cliente usando a string de chave local gerada:
var ClientSideFieldLevelEncryptionOptions = { "keyVaultNamespace" : "encryption.__dataKeys", "kmsProviders" : { "local" : { "key" : BinData(0, TEST_LOCAL_KEY) } } }
Use o construtor Mongo() para criar uma conexão de reconhecimento de data center com as opções de criptografia no nível do campo do lado do cliente. Substitua o URI mongodb://myMongo.example.net pelo URI da string de conexão do cluster de destino.
encryptedClient = Mongo( "mongodb://myMongo.example.net:27017/?replSetName=myMongo", ClientSideFieldLevelEncryptionOptions )
Use o método getClientEncryption() para recuperar o objeto de criptografia do cliente:
clientEncryption = encryptedClient.getClientEncryption()
Para obter a documentação completa sobre como iniciar conexões do MongoDB com a criptografia no nível do campo do lado do cliente habilitada, consulte Mongo().