“文档” 菜单
文档首页
/
MongoDB Manual
/
参考
/
mongosh
/
客户端字段级加密方法客户端

KeyVault.getKey()

在此页面上

  • 行为
  • 例子
KeyVault.getKey(UUID)

获取具有指定UUID的数据加密密钥。 数据加密密钥必须存在于与数据库连接关联的密钥保管库中。

getKey() 通过以下语法实现:

keyVault = db.getMongo().getKeyVault()
keyVault.getKey(UUID("<UUID String>"))

UUID是子类型为4的 BSON binary data对象。

返回:表示匹配数据加密密钥的文档。

如果未找到匹配的数据加密密钥,则KeyVault.getKey()会返回一个对象,其中包含未找到密钥的提示。

行为

需要在数据库连接上配置客户端字段级加密

mongosh 客户端字段级加密方法需要启用客户端字段级加密的数据库连接。如果当前数据库连接在启动时未启用客户端字段级加密,则任选以下其一:

例子

以下示例使用本地托管的 KMS进行客户端字段级加密配置。

为本地管理的密钥配置客户端字段级加密:

  • 生成不带换行符的 base64 编码的 96 字节字符串

  • 使用 mongosh 加载密钥

export TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')")
mongosh --nodb

使用生成的本地密钥字符串创建客户端字段级加密对象:

 var autoEncryptionOpts = {
   "keyVaultNamespace" : "encryption.__dataKeys",
   "kmsProviders" : {
     "local" : {
       "key" : BinData(0, process.env["TEST_LOCAL_KEY"])
     }
   }
 }

使用配置了客户端字段级加密选项的Mongo()构造函数来创建数据库连接。 将mongodb://myMongo.example.net URI 替换为目标集群的连接字符串 URI

encryptedClient = Mongo(
  "mongodb://myMongo.example.net:27017/?replSetName=myMongo",
   autoEncryptionOpts
)

检索keyVault对象并使用KeyVault.getKey()来检索使用其UUID的数据加密密钥:

keyVault = encryptedClient.getKeyVault()
keyVault.getKey(UUID("b4b41b33-5c97-412e-a02b-743498346079"))

getKey() 返回数据加密密钥,输出类似于以下内容:

{
  "_id" : UUID("b4b41b33-5c97-412e-a02b-743498346079"),
  "keyMaterial" : BinData(0,"E+0jZKzA4YuE1lGmSVIy2mivqH4JxFo0yFATdxYX/s0YtMFsgVXyu7Bbn4IQ2gn7F/9JAPJFOxdQc5lN3AR+oX33ewVZsd63f3DN1zzcukqdR2Y+EeO7ekRxyRjdzMaNNrBNIv9Gn5LEJgWPSYkG8VczF7cNZnc1YmnR0tuDPNYfm0J7dCZuZUNWW3FCGRcdFx6AlXiCtXKNR97hJ216pQ=="),
  "creationDate" : ISODate("2021-03-16T18:22:43.733Z"),
  "updateDate" : ISODate("2021-03-16T18:22:43.733Z"),
  "status" : 0, "version" : NumberLong(0),
  "masterKey" : {
    "provider" : "local"
  },
  "keyAltNames" : [
     "alpha"
  ]
}
← KeyVault.deleteKey()
KeyVault.getKeys() →

在此页面上