getKeyVault()_MonogDB 中文网

MongoDB 中文手册

参考 > 参考 > mongo Shell方法 > 客户端字段级加密方法 > getKeyVault()

在本页面

行为
例

4.2版中的新功能。

getKeyVault（）¶

返回KeyVault当前数据库连接的对象。该KeyVault对象支持客户端字段级加密的数据加密密钥管理。

getKeyVault() 具有以下语法：

复制

keyVault = db.getMongo().getKeyVault();

返回：	`KeyVault`当前数据库连接的对象。

使用该KeyVault对象可以访问以下数据加密密钥管理方法：

行为¶

需要在数据库连接上配置客户端字段级加密¶

以下示例将本地管理的密钥用于客户端字段级加密配置。

该mongo客户端的字段级的加密方法需要与客户端的字段级加密的数据库连接启用。如果当前数据库连接不是在启用客户端字段级加密的情况下启动的，则可以：

使用外壳程序中的Mongo()构造函数mongo与所需的客户端字段级加密选项建立连接。该Mongo()方法同时支持Amazon Web Services和本地密钥管理服务（KMS）提供程序，用于客户主密钥（CMK）管理。

要么
使用mongoshell 命令行选项与所需选项建立连接。命令行选项仅支持AWS KMS提供程序进行CMK管理。

密钥库上的唯一部分索引¶

该getKeyVault()方法使用部分索引过滤器在字段上自动创建唯一索引，仅适用于存在的文档。在密钥保管库集合中创建此索引。这防止了同一密钥库中的任何两个数据加密密钥具有相同的密钥替代名称，因此避免了围绕哪个数据加密密钥适用于加密/解密的歧义。keyAltNameskeyAltNamesgetKeyVault()

警告

不要删除由创建的唯一索引getKeyVault()。客户端字段级加密操作取决于服务器强制的唯一性keyAltNames。删除索引可能会导致意外或不可预测的行为。

例子¶

以下示例将本地管理的密钥用于客户端字段级加密配置。

为本地管理的密钥配置客户端字段级加密需要指定没有换行符的base64编码的96字节字符串。以下操作将生成满足所述要求的密钥并将其加载到mongo外壳中：

复制

TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')")

mongo --nodb --shell --eval "var TEST_LOCAL_KEY='$TEST_LOCAL_KEY'"

使用生成的本地密钥字符串创建客户端字段级加密对象：

复制

var ClientSideFieldLevelEncryptionOptions = {
  "keyVaultNamespace" : "encryption.__dataKeys",
  "kmsProviders" : {
    "local" : {
      "key" : BinData(0, TEST_LOCAL_KEY)
    }
  }
}

使用Mongo()构造函数使用客户端字段级加密选项创建数据库连接。用目标集群mongodb://myMongo.example.net的连接字符串URI替换 URI 。

复制

encryptedClient = Mongo(
  "mongodb://myMongo.example.net:27017/?replSetName=myMongo",
  ClientSideFieldLevelEncryptionOptions
)

使用该getKeyVault()方法检索密钥库对象：

复制

keyVault = encryptedClient.getKeyVault()

有关在启用客户端字段级加密的情况下启动MongoDB连接的完整文档，请参阅Mongo()。