getClientEncryption()

在此页面上

语法

行为
例子
了解详情

getClientEncryption()

返回当前数据库集合的ClientEncryption对象。 ClientEncryption对象支持对字段值进行显式（手动）加密和解密，以实现客户端字段级加密。

返回：	当前数据库连接的`ClientEncryption`对象。

语法

getClientEncryption() 通过以下语法实现：

db.getMongo().getClientEncryption();

使用ClientEncryption对象访问以下显式加密方法：

行为

在数据库连接上启用客户端字段级加密

mongosh客户端字段级加密方法需要启用客户端字段级加密的数据库连接。如果当前数据库连接不是在启用客户端字段级加密的情况下启动的，则：

使用 mongosh 中的 Mongo() 构造函数建立连接，并提供所需的客户端字段级加密选项。Mongo() 方法支持以下用于“客户主密钥”(KMS) 管理的“密钥管理服务”(CMK) 提供商：
or
使用 mongosh 命令行选项，用所需选项建立连接。命令行选项仅支持用于 CMK 管理的 Amazon Web Services KMS 提供商。

例子

getKeyVault()方法自动在keyAltNames字段上创建唯一索引，并使用仅针对存在keyAltNames的文档的部分索引筛选器。 getKeyVault()在密钥保管库集合中创建此索引。这样可以防止同一密钥保管库中的任何两个数据加密密钥具有相同的密钥备用名称，从而避免混淆哪个数据加密密钥适合加密/解密。

警告

请勿删除getKeyVault()创建的唯一索引。客户端字段级加密操作取决于服务器强制执行的keyAltNames唯一性。删除索引可能会导致意外或不可预知的行为。

以下示例使用本地托管的 KMS 进行客户端字段级加密配置。

启动 mongosh

启动mongosh客户端。

mongosh --nodb

生成密钥

要为本地托管的密钥配置客户端字段级加密，请生成一个不带换行符的 base64 编码的 96 字节字符串。

const TEST_LOCAL_KEY = require("crypto").randomBytes(96).toString("base64")

创建客户端字段级加密选项

使用生成的本地密钥字符串创建客户端字段级加密选项：

 var autoEncryptionOpts = {
   "keyVaultNamespace" : "encryption.__dataKeys",
   "kmsProviders" : {
     "local" : {
       "key" : BinData(0, TEST_LOCAL_KEY)
     }
   }
 }

创建加密客户端

使用配置了客户端字段级加密选项的Mongo()构造函数来创建数据库连接。将mongodb://myMongo.example.net URI 替换为目标集群的连接字符串 URI 。

encryptedClient = Mongo(
  "mongodb://myMongo.example.net:27017/?replSetName=myMongo",
   autoEncryptionOpts
)

使用getClientEncryption()方法检索客户端加密对象：

clientEncryption = encryptedClient.getClientEncryption()

了解详情

有关在启用客户端字段级加密的情况下启动 MongoDB 连接的完整文档，请参阅Mongo() 。

后退

ClientEncryption.decrypt

来年

getKeyVault