KeyVault.getKey()

在此页面上

行为

例子

KeyVault.getKey(UUID)

获取具有指定UUID的数据加密密钥。数据加密密钥必须存在于与数据库连接关联的密钥保管库中。

getKey() 通过以下语法实现：

keyVault = db.getMongo().getKeyVault()
keyVault.getKey(UUID("<UUID String>"))

UUID是子类型为4的BSON binary data对象。

返回：	表示匹配数据加密密钥的文档。如果未找到匹配的数据加密密钥，则`KeyVault.getKey()`会返回一个对象，其中包含未找到密钥的提示。

行为

需要在数据库连接上配置客户端字段级加密

mongosh 客户端字段级加密方法需要启用客户端字段级加密的数据库连接。如果当前数据库连接在启动时未启用客户端字段级加密，则任选以下其一：

使用 mongosh 中的 Mongo() 构造函数建立连接，并提供所需的客户端字段级加密选项。Mongo() 方法支持以下用于“客户主密钥”(KMS) 管理的“密钥管理服务”(CMK) 提供商：
or
使用 mongosh 命令行选项，用所需选项建立连接。命令行选项仅支持用于 CMK 管理的 Amazon Web Services KMS 提供商。

例子

以下示例使用本地托管的 KMS进行客户端字段级加密配置。

为本地管理的密钥配置客户端字段级加密：

生成不带换行符的 base64 编码的 96 字节字符串
使用 mongosh 加载密钥

export TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')")
mongosh --nodb

使用生成的本地密钥字符串创建客户端字段级加密对象：

 var autoEncryptionOpts = {
   "keyVaultNamespace" : "encryption.__dataKeys",
   "kmsProviders" : {
     "local" : {
       "key" : BinData(0, process.env["TEST_LOCAL_KEY"])
     }
   }
 }

使用配置了客户端字段级加密选项的Mongo()构造函数来创建数据库连接。将mongodb://myMongo.example.net URI 替换为目标集群的连接字符串 URI 。

encryptedClient = Mongo(
  "mongodb://myMongo.example.net:27017/?replSetName=myMongo",
   autoEncryptionOpts
)

检索keyVault对象并使用KeyVault.getKey()来检索使用其UUID的数据加密密钥：

keyVault = encryptedClient.getKeyVault()
keyVault.getKey(UUID("b4b41b33-5c97-412e-a02b-743498346079"))

getKey() 返回数据加密密钥，输出类似于以下内容：

{
  "_id" : UUID("b4b41b33-5c97-412e-a02b-743498346079"),
  "keyMaterial" : BinData(0,"E+0jZKzA4YuE1lGmSVIy2mivqH4JxFo0yFATdxYX/s0YtMFsgVXyu7Bbn4IQ2gn7F/9JAPJFOxdQc5lN3AR+oX33ewVZsd63f3DN1zzcukqdR2Y+EeO7ekRxyRjdzMaNNrBNIv9Gn5LEJgWPSYkG8VczF7cNZnc1YmnR0tuDPNYfm0J7dCZuZUNWW3FCGRcdFx6AlXiCtXKNR97hJ216pQ=="),
  "creationDate" : ISODate("2021-03-16T18:22:43.733Z"),
  "updateDate" : ISODate("2021-03-16T18:22:43.733Z"),
  "status" : 0, "version" : NumberLong(0),
  "masterKey" : {
    "provider" : "local"
  },
  "keyAltNames" : [
     "alpha"
  ]
}

后退

KeyVault.deleteKey

来年

KeyVault.getKeys