创建加密模式
关于此任务
要使加密字段可查询,请创建加密模式。 此模式定义了哪些字段可查询,以及允许哪些查询类型。 有关更多信息,请参阅加密字段和启用的查询。
重要
可查询Queryable Encryption支持相等和范围查询。 您只能为一种查询类型配置一个字段。
开始之前
当您将加密字段设置为可查询时,请考虑性能和安全性。 有关每个配置选项如何影响这些字段的详细信息,请参阅配置加密字段以实现最佳搜索和存储。
步骤
指定要加密的字段。
将
path和bsonType字符串添加到文档的字段大量中:const encryptedFieldsObject = { fields: [ { path: "myDocumentField", bsonType: "int" } ] } 重要
您可以指定除
_id字段之外的任何字段进行加密。如果使用显式加密,请添加具有 DEK ID的
keyId字段:{ path: "myDocumentField", bsonType: "int", keyId: "<unique data encryption key>" } 提示
通过自动加密,MongoDB 为每个字段创建加密密钥。 您可以在客户端上配置
AutoEncryptionSettings,然后使用createEncryptedCollection辅助方法创建集合。
对所需字段启用范围查询。
这样就可以使用$lt 、 $lte 、 $gt和$gte操作符进行查询。
有关以下选项如何影响安全性和性能的详细信息,请参阅配置加密字段以实现最佳搜索和存储。
添加
queries对象设立queryType设置为"range":{ path: "myDocumentRangeField", bsonType: "int", queries: { queryType: "range" } } 设置以下字段:
字段类型说明与字段相同bsonType如果
bsonType为decimal或double,则为必填项。 可选,但如果为int、long或date,则强烈建议使用。 默认为bsonType的最小值和最大值。在可能的情况下,为查询指定边界可以提高性能。 如果查询的值超出这些包含边界, MongoDB将返回错误。
{ path: "myDocumentRangeField", bsonType: "int", queries: { queryType: "range", min: 0, max: 1200 } }
例子
此示例展示了如何为医院数据创建加密模式。
考虑以下包含个人身份信息 (PII)、信用卡信息和敏感医疗信息的文档:
{ "firstName": "Jon", "lastName": "Snow", "patientId": 12345187, "address": "123 Cherry Ave", "medications": [ "Adderall", "Lipitor" ], "patientInfo": { "ssn": "921-12-1234", "billing": { "type": "visa", "number": "1234-1234-1234-1234" } } }
为了确保 PII 和敏感医疗信息的安全,此加密模式添加了相关字段:
const encryptedFieldsObject = { fields: [ { path: "patientId", bsonType: "int" }, { path: "patientInfo.ssn", bsonType: "string" }, { path: "medications", bsonType: "array" }, { path: "patientInfo.billing", bsonType: "object" } ] }
添加queries属性后, patientId和patientInfo.ssn字段将成为可查询字段。 此示例启用相等查询:
const encryptedFieldsObject = { fields: [ { path: "patientId", bsonType: "int", queries: { queryType: "equality" } }, { path: "patientInfo.ssn", bsonType: "string", queries: { queryType: "equality" } }, { path: "medications", bsonType: "array" }, { path: "patientInfo.billing", bsonType: "object" }, ] }