Overview
本指南介绍如何使用 Azure Key Vault 构建启用客户端字段级加密 (CSFLE) 的应用程序。
在完成本指南中的步骤后,您应该具有:
托管在 Azure Key Vault 实例上的客户主密钥。
正常工作的客户端应用程序;可以使用客户主密钥插入具有加密字段的文档。
开始之前
要完成并运行本指南中的代码,您需要按照安装要求页面所示设立开发环境。
在本指南中,代码示例使用占位符文本。在运行示例之前,请用您自己的值替换这些占位符。
例如:
dek_id := "<Your Base64 DEK ID>"
您可以将引号之间的内容替换为您的 DEK ID。
dek_id := "abc123"
从页面右侧的 Select your language(选择语言)下拉菜单中,选择要查看代码示例的编程语言。
完整应用程序代码
要查看示例应用程序的完整代码,请在语言选择器中选择您的编程语言。
设置 KMS
向 Azure 注册您的应用程序
向 Azure Active Directory 注册您的应用程序
要在Azure Active Directory 上注册应用程序,请按照 Microsoft 官方文档《使用Microsoft身份平台注册应用程序快速入门》进行操作。
重要
记录凭证
确保记录以下凭证:
租户 ID
客户 ID
客户端密钥
在本教程的后面部分,您将需要它们来构造
kmsProviders对象。
创建客户主密钥
创建 Azure Key Vault 和客户主密钥
要创建新的Azure Key Vault实例和客户主密钥,请遵循 Microsoft 官方文档 使用Azure门户快速入门从Azure Key Vault设置和检索密钥。
注意
客户主密钥的 RSA 密钥大小应为 2048 或 4096 位。
重要
记录凭证
确保记录以下凭证:
密钥名称
密钥标识符(本指南后面称为
keyVaultEndpoint)keyVersion
在本教程的后面内容中,您将需要它们来构造
dataKeyOpts对象。授予权限
创建应用程序
了解详情
要学习;了解CSFLE 的工作原理,请参阅 CSFLE 基础知识。
如需详细了解本指南中提到的主题,请参阅以下链接:
有关 CSFLE 组件的更多信息,请参阅参考页面。
在加密密钥和密钥保管库页面上了解客户数主密钥和数据加密密钥的工作原理
在KMS提供程序页面上了解KMS提供程序如何管理您的 CSFLE 密钥。