KeyVault.rewrapManyDataKey(filter, options)Descifra varias claves de cifrado de datos (DEK) y las vuelve a cifrar con una nueva clave maestra de cliente (CMK). Utilice este método para rotar la CMK que cifra sus DEK. Para obtener más información sobre las CMK y las DEK, consulte Llaves.
Se especifica una CMK mediante el
masterKeyparámetro. Si no se incluye elmasterKeyargumento, el método descifra y cifra cada DEK con la CMK referenciada en sus metadatos. Para obtener más información sobre los metadatos de las DEK, consulte Metadatos utilizados para el descifrado.Devuelve: Un objeto BulkWriteResult que informa cuántas claves de datos se vieron afectadas.
Advertencia
Realice una copia de seguridad de su colección de Key Vault
Antes de rotar tus llaves de cifrado de datos, asegúrate de crear una copia de seguridad de tu Colección de Bóvedas de Llaves. Si pierdes acceso a tus llaves de cifrado de datos, perderás todos tus datos cifrados.
Para aprender a crear una copia de seguridad de una colección, consulte Realizar copias de seguridad y restaurar una implementación autoadministrada con herramientas MongoDB.
Compatibilidad
Este comando está disponible en implementaciones alojadas en los siguientes entornos:
MongoDB Atlas: El servicio totalmente gestionado para implementaciones de MongoDB en la nube
MongoDB Enterprise: La versión basada en suscripción y autogestionada de MongoDB
MongoDB Community: La versión de MongoDB con código fuente disponible, de uso gratuito y autogestionada.
Sintaxis
KeyVault.rewrapManyDataKey tiene la siguiente sintaxis:
let keyVault = db.getMongo().getKeyVault() keyVault.rewrapManyDataKey( <filter>, <options> )
Parameter | Tipo | Descripción |
|---|---|---|
| El filtro de consulta para la colección KeyVault | |
| Documento | Este documento tiene dos campos:
|
Importante
Soporte de rotación de claves
Para ver las dependencias de su controlador para la API de rotación de claves, consulte Compatibilidad.
Comportamiento
Esta operación no es atómica y no debe ejecutarse en paralelo con otras operaciones de administración de claves.
Requiere configurar cifrado a nivel de campo del lado del cliente en la conexión a la base de datos.
Los métodos de cifrado de campo del lado del cliente requieren una conexión a la base de datos con el cifrado de campo del lado del cliente habilitado. Si la conexión actual a la base de datos no se inició con el cifrado de campo del lado del cliente habilitado, puede ocurrir lo mongosh siguiente:
Utilice el constructor
Mongo()mongoshde para establecer una conexión con las opciones de cifrado de campo requeridas del lado del cliente.Mongo()El método admite los siguientes proveedores de Servicios de Gestión de Claves (KMS) para la gestión de la Clave Maestra del Cliente (CMK):or
Utilice las opciones de línea de comandos
mongoshpara establecer una conexión con las opciones requeridas. Las opciones de la línea de comandos solo admiten el proveedor Amazon Web Services KMS para la gestión de la llave maestra de cliente.
Ejemplo
Estos ejemplos le permiten evaluar rápidamente el cifrado a nivel de campo del lado del cliente. Para obtener ejemplos específicos que utilizan cada uno de los métodos compatibles, Proveedor deKMS, consulte Administración de claves de cifrado.
Para configurar el cifrado a nivel de campo del lado del cliente para una clave administrada localmente:
generar una cadena de 96bytes codificada en base64sin saltos de línea
use para cargar la
mongoshclave
export TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')") mongosh --nodb
Cree el objeto de cifrado a nivel de campo lado del cliente mediante el string de clave local generado:
var autoEncryptionOpts = { "keyVaultNamespace" : "encryption.__dataKeys", "kmsProviders" : { "local" : { "key" : BinData(0, process.env["TEST_LOCAL_KEY"]) } } }
Utilice el constructor con las opciones de cifrado de campo del lado del cliente configuradas para crear una conexión a la base de datos. Reemplace Mongo() el mongodb://myMongo.example.net URI por el URI de la cadena de conexión del clúster de destino.
encryptedClient = Mongo( "mongodb://myMongo.example.net:27017/?replSetName=myMongo", autoEncryptionOpts )
Recupere el objetoKeyVaulty use el métodoKeyVault.rewrapManyDataKey()para reorganizar las claves existentes en un nuevo masterKey. Si no se especifica ningún nuevo masterKey, cada clave de datos conserva su respectiva masterKey actual.
Reenvolver claves de datos con la clave maestra actual
El siguiente ejemplo muestra cómo puedes reenvolver cada clave de datos con su respectivo masterKey actual:
let keyVault = mongo.getKeyVault() keyVault.rewrapManyDataKey()
Reenvolver las claves de datos con una nueva clave maestra
El siguiente ejemplo muestra cómo puedes reenvolver cada clave de datos con un nuevo masterKey:
let keyVault = mongo.getKeyVault() keyVault.rewrapManyDataKey({}, { provider: 'aws', masterKey: { region: 'us-east-2', key: 'arn:aws:kms:us-east-2:...' } })
Reenvolver claves de datos que no se han reenvuelto recientemente
El siguiente ejemplo muestra cómo reencapsular claves de datos que no se han reencapsulado en los treinta días anteriores.
let keyVault = mongo.getKeyVault() const thirtyDaysAgo = new Date(Date.now() - 30 * 24 * 60 * 60 * 1000); keyVault.rewrapManyDataKey({ updateDate: { $lt: thirtyDaysAgo } });
Salida
KeyVault.rewrapManyDataKey() devuelve un BulkWriteResult objeto que detalla cuántas claves de datos se vieron afectadas:
{ bulkWriteResult: BulkWriteResult { result: { ok: 1, writeErrors: [], writeConcernErrors: [], insertedIds: [], nInserted: 0, nUpserted: 0, nMatched: 3, nModified: 3, nRemoved: 0, upserted: [], opTime: { ts: Timestamp({ t: 1655840760, i: 3 }), t: 23 } } } }