KeyVault.createKey()
KeyVault.createKey(keyManagementService, customerMasterKey, ["keyAltName"])
将数据加密密钥添加到与数据库连接关联的密钥保管库。 客户端字段级加密使用数据加密密钥来支持字段值的加密和解密。
返回: 创建的数据加密密钥的 UUID
唯一标识符。
兼容性
此命令可用于以下环境中托管的部署:
MongoDB Atlas:用于云中 MongoDB 部署的完全托管服务
MongoDB Enterprise:基于订阅、自我管理的 MongoDB 版本
MongoDB Community:源代码可用、免费使用且可自行管理的 MongoDB 版本
语法
createKey()
通过以下语法实现:
keyVault = db.getMongo().getKeyVault() keyVault.createKey( keyManagementService, customerMasterKey, [ "keyAltName" ] )
Parameter | 类型 | 说明 |
---|---|---|
| 字符串 | 必需 用于检索客户主密钥 (CMK) 的密钥管理服务 (KMS )。 接受以下参数:
如果未为 |
| 字符串或文档 | 用于加密数据加密密钥的客户主密钥 (CMK)。 如果 根据您的 KMS 提供商,按如下方式提供客户主密钥:
如果 |
| 字符串数组 | Optional 数据加密密钥的替代名称。 使用
|
行为
需要在数据库连接上配置客户端字段级加密
mongo
客户端字段级加密方法需要启用客户端字段级加密的数据库连接。 如果当前数据库连接不是在启用客户端字段级加密的情况下启动的,则:
例子
以下示例用于快速评估客户端字段级加密。 有关将KeyVault.createKey()
与每个受支持的 KMS提供程序结合使用的具体示例,请参阅创建数据加密密钥。
为本地托管的密钥配置客户端字段级加密需要指定一个不带换行符的 base64 编码的 96 字节字符串。以下操作生成满足所述要求的密钥并将其加载到mongo
shell:
TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')") mongosh --nodb --shell --eval "var TEST_LOCAL_KEY='$TEST_LOCAL_KEY'"
使用生成的本地密钥字符串创建客户端字段级加密对象:
var ClientSideFieldLevelEncryptionOptions = { "keyVaultNamespace" : "encryption.__dataKeys", "kmsProviders" : { "local" : { "key" : BinData(0, TEST_LOCAL_KEY) } } }
使用Mongo()
构造函数创建具有客户端字段级加密选项的数据库连接。 将mongodb://myMongo.example.net
URI 替换为目标集群的连接字符串 URI 。
encryptedClient = Mongo( "mongodb://myMongo.example.net:27017/?replSetName=myMongo", ClientSideFieldLevelEncryptionOptions )
检索keyVault
对象并使用KeyVault.createKey()
方法,利用本地托管的密钥创建新的数据加密密钥密钥:
keyVault = encryptedClient.getKeyVault() keyVault.createKey("local", ["data-encryption-key"])
如果成功, createKey()
将返回新数据加密密钥的UUID
。 要从密钥保管库检索新的数据加密密钥文档,请执行以下任一操作:
使用
getKey()
检索UUID
创建的密钥。-或-
使用
getKeyByAltName()
按备用名称检索密钥。