Docs 菜单
Docs 主页
/
MongoDB Manual
/
参考
/
mongosh 方法
/
客户端字段级加密 (Client-Side Field Level Encryption)

KeyVault.addKeyAlternateName()

在此页面上

  • 兼容性
  • 语法
  • 行为
  • 例子
KeyVault.addKeyAlternateName(UUID, keyAltName)

使用 UUIDkeyAltName添加到数据加密密钥的 keyAltNames数组。

keyAltName 在密钥保管库的所有密钥中必须是唯一的。 getKeyVault()方法会自动在keyAltNames字段上创建唯一索引,并使用部分索引过滤,仅针对存在keyAltNames的文档创建唯一索引。

返回:返回数据加密密钥文档的先前版本。

如果没有数据加密密钥具有指定的 ,则返回nullUUID()

兼容性

此命令可用于以下环境中托管的部署:

  • MongoDB Atlas:用于云中 MongoDB 部署的完全托管服务

语法

addKeyAlternateName() 通过以下语法实现:

keyVault = db.getMongo().getKeyVault()
keyVault.addKeyAlternateName(
   UUID("<UUID string>"),
   "keyAlternateName"
)

行为

需要在数据库连接上配置客户端字段级加密

mongosh 客户端字段级加密方法需要启用客户端字段级加密的数据库连接。如果当前数据库连接在启动时未启用客户端字段级加密,则任选以下其一:

例子

以下示例用于快速评估客户端字段级加密。 有关将KeyVault.addKeyAlternateName()与每个受支持的 KMS提供程序结合使用的具体示例,请参阅加密密钥管理。

为本地管理的密钥配置客户端字段级加密:

  • 生成不带换行符的 base64 编码的 96 字节字符串

  • 使用 mongosh 加载密钥

export TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')")
mongosh --nodb

使用生成的本地密钥字符串创建客户端字段级加密对象:

 var autoEncryptionOpts = {
   "keyVaultNamespace" : "encryption.__dataKeys",
   "kmsProviders" : {
     "local" : {
       "key" : BinData(0, process.env["TEST_LOCAL_KEY"])
     }
   }
 }

使用配置了客户端字段级加密选项的Mongo()构造函数来创建数据库连接。 将mongodb://myMongo.example.net URI 替换为目标集群的连接字符串 URI

encryptedClient = Mongo(
  "mongodb://myMongo.example.net:27017/?replSetName=myMongo",
   autoEncryptionOpts
)

检索KeyVault对象并使用KeyVault.addKeyAlternateName()方法将新的密钥备用名称添加到具有匹配UUID的数据加密密钥中。 指定的密钥备用名称必须是唯一的:

keyVault = encryptedClient.getKeyVault()
keyVault.addKeyAlternateName(UUID("b4b41b33-5c97-412e-a02b-743498346079"),"Other-Data-Encryption-Key")

如果成功, addKeyAlternateName()将返回数据加密密钥文档的先前版本:

{
    "_id" : UUID("b4b41b33-5c97-412e-a02b-743498346079"),
    "keyMaterial" : BinData(0,"PXRsLOAYxhzTS/mFQAI8486da7BwZgqA91UI7NKz/T/AjB0uJZxTvhvmQQsKbCJYsWVS/cp5Rqy/FUX2zZwxJOJmI3rosPhzV0OI5y1cuXhAlLWlj03CnTcOSRzE/YIrsCjMB0/NyiZ7MRWUYzLAEQnE30d947XCiiHIb8a0kt2SD0so8vZvSuP2n0Vtz4NYqnzF0CkhZSWFa2e2yA=="),
    "creationDate" : ISODate("2019-08-12T21:21:30.569Z"),
    "updateDate" : ISODate("2019-08-12T21:21:30.569Z"),
    "status" : 0,
    "version" : NumberLong(0),
    "masterKey" : {
        "provider" : "local"
    },
    "keyAltNames" : [
    ]
}

要查看数据加密密钥文档的当前版本,请使用KeyVault.getKey()指定返回文档的_idKeyVault.getKeyByAltName()指定keyAltNames之一。

提示

另请参阅:

加密密钥管理

后退

KeyVault.addKeyName

来年

KeyVault.createDataKey