ClientEncryption.encrypt() (método mongosh)

Crear una conexión de base de datos cifrada

Los métodos de cifrado de campo y consulta del lado del cliente requieren una conexión a la base de datos configurada para el cifrado del lado del cliente. Si la conexión a la base de datos actual no se inició con el cifrado de campo del lado del cliente habilitado, puede ocurrir lo mongosh siguiente:

• Utilice el constructor Mongo() mongosh de para establecer una conexión con las opciones de cifrado de campo requeridas del lado del cliente.Mongo() El método admite los siguientes proveedores de Servicios de Gestión de Claves (KMS) para la gestión de la Clave Maestra del Cliente (CMK):

• Amazon Web Services KMS

• Azure Key Vault

• Google Cloud Platform KMS

• Clave gestionada localmente

or

• Utilice las opciones de línea de comandos mongosh para establecer una conexión con las opciones requeridas. Las opciones de la línea de comandos solo admiten el proveedor Amazon Web Services KMS para la gestión de la llave maestra de cliente.

Tipos BSON no compatibles

No puede utilizar para cifrar valores con los siguientes tipos encrypt() BSON:

• minKey

• maxKey

• null

• undefined

Si se cifra un campo utilizando,AEAD_AES_256_CBC_HMAC_SHA_512-Deterministic encrypt() no admite los siguientes tipos BSON:

• double

• decimal128

• bool

• object

• array

Encriptación a nivel de campo

El siguiente ejemplo utiliza un KMS administrado localmente para la configuración de cifrado a nivel de campo del lado del cliente.

Para configurar el cifrado a nivel de campo del lado del cliente para una clave administrada localmente:

• generar una cadena de 96bytes codificada en base64sin saltos de línea

• use para cargar la mongosh clave

export TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')")
mongosh --nodb

Cree el objeto de cifrado a nivel de campo lado del cliente mediante el string de clave local generado:

 var autoEncryptionOpts = {
   "keyVaultNamespace" : "encryption.__dataKeys",
   "kmsProviders" : {
     "local" : {
       "key" : BinData(0, process.env["TEST_LOCAL_KEY"])
     }
   }
 }

Utilice el constructor con las opciones de cifrado de campo del lado del cliente configuradas para crear una conexión a la base de datos. Reemplace Mongo() el mongodb://myMongo.example.net URI por el URI de la cadena de conexión del clúster de destino.

encryptedClient = Mongo(
  "mongodb://myMongo.example.net:27017/?replSetName=myMongo",
   autoEncryptionOpts
)

Recupere el ClientEncryption objeto y utilice el método para cifrar un valor utilizando una ClientEncryption.encrypt() clave UUID de cifrado de datos específica y ​​un algoritmo de cifrado:

clientEncryption = encryptedClient.getClientEncryption();
clientEncryption.encrypt(
  UUID("64e2d87d-f168-493c-bbdf-a394535a2cb9"),
  "123-45-6789",
  "AEAD_AES_256_CBC_HMAC_SHA_512-Random"
)

También puede especificar el algoritmo utilizando un documento con un campo algorithm:

clientEncryption = encryptedClient.getClientEncryption();
clientEncryption.encrypt(
  UUID("64e2d87d-f168-493c-bbdf-a394535a2cb9"),
  "123-45-6789",
  { algorithm: "AEAD_AES_256_CBC_HMAC_SHA_512-Random" }
)

Siencrypt() tiene éxito, devuelve el valor cifrado:

BinData(6,"AmTi2H3xaEk8u9+jlFNaLLkC3Q/+kmwDbbWrq+h9nuv9W+u7A5a0UnpULBNZH+Q21fAztPpU09wpKPrju9dKfpN1Afpj1/ZhFcH6LYZOWSBBOAuUNjPLxMNSYOOuITuuYWo=")

Para obtener documentación completa sobre cómo iniciar conexiones MongoDB con el cifrado de nivel de campo del lado del cliente habilitado,Mongo() consulte.

Queryable Encryption

El siguiente ejemplo utiliza un KMS gestionado localmente para la configuración de queryable encryption.

Para configurar el cifrado consultable para una clave administrada localmente, se requiere especificar una cadena64de bytes codificada en base 96sin saltos de línea. La siguiente operación genera una clave que cumple los requisitos indicados y la carga mongosh en:

TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')")
mongosh --nodb

Cree el objeto de cifrado a nivel de campo lado del cliente mediante el string de clave local generado:

var autoEncryptionOpts = {
  "keyVaultNamespace" : "encryption.__keyVault",
  "kmsProviders" : {
    "local" : {
      "key" : BinData(0, process.env["TEST_LOCAL_KEY"])
    }
  }
}

Utilice el constructor para crear una conexión a la base de datos con las opciones de cifrado consultables. Reemplace Mongo() el mongodb://myMongo.example.net URI por el URI de la cadena de conexión del clúster de destino.

encryptedClient = Mongo(
  "mongodb://myMongo.example.net:27017/?replSetName=myMongo",
  autoEncryptionOpts
)

Recupere el ClientEncryption objeto y utilice el método para cifrar un valor utilizando una ClientEncryption.encrypt() clave UUID de cifrado de datos específica y ​​un algoritmo de cifrado:

const eDB = "encrypted"
const eKV = "__keyVault"
const clientEncryption = encryptedClient.getClientEncryption();
const keyVaultClient = Mongo().getDB(eDB).getCollection(eKV)
const dek = keyVaultClient.findOne({ keyAltNames: "dataKey1" })
clientEncryption.encrypt(
  dek._id,
  "123-45-6789",
  "Unindexed"
)

También puedes especificar el algoritmo utilizando un documento que contenga los campos:

• algorithm

• queryType

• contentionFactor

const eDB = "encrypted"
const eKV = "__keyVault"
const clientEncryption = encryptedClient.getClientEncryption();
const keyVaultClient = Mongo().getDB(eDB).getCollection(eKV)
const dek = keyVaultClient.findOne({ keyAltNames: "dataKey1" })
clientEncryption.encrypt(
  dek._id,
  "123-45-6789",
  {
    algorithm: "Indexed",
    queryType: "equality",
    contentionFactor: 4
  }
)

Siencrypt() tiene éxito, devuelve el valor cifrado:

Binary(Buffer.from("05b100000005640020000000005ab3581a43e39a8e855b1ac87013e841735c09d19ae86535eea718dd56122ba50573002000000000703d2cba9832d90436c6c92eb232aa5b968cdcd7a3138570bc87ef0a9eb3a0e905630020000000009cb61df010b1bb54670a5ad979f25f4c48889059dfd8920782cf03dd27d1a50b05650020000000003f5acea703ea357d3eea4c6a5b19139a580089341424a247839fd4d5cf0d312a12636d00040000000000000000", "hex"), 6)