Docs 菜单
Docs 主页
/
MongoDB Manual
/ / /

KeyVault.createKey()

在此页面上

  • 行为
  • 例子
KeyVault.createKey(keyManagementService, customerMasterKey, ["keyAltName"])

将数据加密密钥添加到与数据库连接关联的密钥保管库。 客户端字段级加密使用数据加密密钥来支持字段值的加密和解密。

createKey() 通过以下语法实现:

keyVault = db.getMongo().getKeyVault()
keyVault.createKey(
keyManagementService,
customerMasterKey,
[ "keyAltName" ]
)
Parameter
类型
说明
keyManagementService
字符串

必需

用于检索客户主密钥 (CMK) 的密钥管理服务 (KMS )。 接受以下参数:

  • aws 用于Amazon Web Services KMS 。 需要为customerMasterKey指定客户主密钥 (CMK) 字符串。

  • azure 用于Azure Key Vault 。 需要为customerMasterKey指定客户主密钥 (CMK) 文档。

    版本 5.0 中的新增功能

  • gcp 用于Google Cloud Platform KMS 。 需要为customerMasterKey指定客户主密钥 (CMK) 文档。

    版本 5.0 中的新增功能

  • local 用于本地托管的密钥。

如果未为database connection配置指定的 KMS,则数据加密密钥创建将失败。

customerMasterKey
字符串或文档

用于加密数据加密密钥的客户主密钥 (CMK)。 如果keyManagementServiceawsazuregcp ,则为必填项。

根据您的 KMS 提供商,按如下方式提供客户主密钥:

createKey()请求KMS使用指定的集合扫描加密数据加密密钥材料。 如果集合扫描不存在,或者AutoEncryptionOpts配置没有足够的特权来使用集合扫描,则createKey()会返回错误。

如果keyManagementServicelocal ,则此参数无效,可以安全地省略。

keyAltName
字符串数组

Optional

数据加密密钥的替代名称。 使用keyAltName提高特定数据加密密钥的可查找性,或作为注释的模拟。

getKeyVault()方法自动在keyAltNames字段上创建唯一索引,并使用仅针对存在keyAltNames的文档的部分索引筛选器。

options
文档

Optional

指定新密钥选项的文档。 options具有以下字段:

  • masterKey:用于加密数据的新主密钥。

  • keyAltNames:备用名称数组,每个主密钥一个。

  • keyMaterial:用于创建密钥的 bindata。

返回:创建的数据加密密钥的UUID唯一标识符。

mongosh 客户端字段级加密方法需要启用客户端字段级加密的数据库连接。如果当前数据库连接在启动时未启用客户端字段级加密,则任选以下其一:

以下示例用于快速评估客户端字段级加密。 有关将KeyVault.createKey()与每个受支持的 KMS提供程序结合使用的具体示例,请参阅创建数据密钥。

为本地管理的密钥配置客户端字段级加密:

  • 生成不带换行符的 base64 编码的 96 字节字符串

  • 使用 mongosh 加载密钥

export TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')")
mongosh --nodb

使用生成的本地密钥字符串创建客户端字段级加密对象:

var autoEncryptionOpts = {
"keyVaultNamespace" : "encryption.__dataKeys",
"kmsProviders" : {
"local" : {
"key" : BinData(0, process.env["TEST_LOCAL_KEY"])
}
}
}

使用配置了客户端字段级加密选项的Mongo()构造函数来创建数据库连接。 将mongodb://myMongo.example.net URI 替换为目标集群的连接字符串 URI

encryptedClient = Mongo(
"mongodb://myMongo.example.net:27017/?replSetName=myMongo",
autoEncryptionOpts
)

检索keyVault对象并使用KeyVault.createKey()方法,利用本地托管的密钥创建新的数据加密密钥密钥:

keyVault = encryptedClient.getKeyVault()
keyVault.createKey("local", ["data-encryption-key"])

如果成功, createKey()将返回新数据加密密钥的UUID 。 要从密钥保管库检索新的数据加密密钥文档,请执行以下任一操作:

后退

KeyVault.createDataKey

在此页面上