Docs 菜单
Docs 主页
/ /
/ / /

通过 Azure 使用客户端字段级自动加密

本指南介绍如何使用 Azure Key Vault 构建启用客户端字段级加密 (CSFLE) 的应用程序。

在完成本指南中的步骤后,您应该具有:

  • 托管在 Azure Key Vault 实例上的客户主密钥。

  • 正常工作的客户端应用程序;可以使用客户主密钥插入具有加密字段的文档。

在开始本教程之前,请完成以下先决条件步骤:

  1. MongoDB 下载中心下载自动加密共享库。导航至 MongoDB Enterprise Server Download 部分并选择以下选项:

    • Version 下拉列表中,选择标记为 "current" 的版本。

    • Platform 下拉列表中,选择您的平台。

    • Package 下拉菜单中,选择 crypt_shared

    提取存档文件并保存共享库文件的路径以供将来使用。

    注意

    查询分析组件

    自动加密共享库是 mongocryptd 的首选替代方案,不需要生成新进程来执行自动加密。本教程使用自动加密共享库,但仍支持 mongocryptd

  2. 配置 MongoDB Atlas 集群或本地副本集部署,并保存连接字符串以备将来使用。要了解更多信息,请参阅入门教程。

在本指南中,代码示例使用占位符文本。在运行示例之前,请用您自己的值替换这些占位符。

例如:

dek_id := "<Your Base64 DEK ID>"

您可以将引号之间的内容替换为您的 DEK ID。

dek_id := "abc123"

从页面右侧的 Select your language 下拉菜单中选择您想要查看其代码示例的编程语言。

要查看示例应用程序的完整代码,请在语言选择器中选择您的编程语言。

1
  1. 登录到 Azure。

  2. 向 Azure Active Directory 注册您的应用程序

    要在Azure Active Directory 上注册应用程序,请按照 Microsoft 官方文档《使用Microsoft身份平台注册应用程序快速入门》进行操作。

    重要

    记录凭证

    确保记录以下凭证:

    • 租户 ID

    • 客户 ID

    • 客户端密钥

    在本教程的后面内容中,您将需要这些凭证来构建 kmsProviders 对象。您还可以使用访问令牌或自动凭证获取来进行身份验证。要了解 Azure 的所有可用凭证形式,请参阅 kmsProviders 对象。

2
  1. 创建 Azure Key Vault 和客户主密钥

    要创建新的Azure Key Vault实例和客户主密钥,请遵循 Microsoft 官方文档 使用Azure门户快速入门从Azure Key Vault设置和检索密钥。

    注意

    客户主密钥的 RSA 密钥大小应为 2048 或 4096 位。

    重要

    记录凭证

    确保记录以下凭证:

    • 密钥名称

    • 密钥标识符(本指南后面称为keyVaultEndpoint

    • keyVersion

    在本教程的后面内容中,您将需要它们来构造dataKeyOpts对象。

  2. 授予权限

要学习;了解CSFLE 的工作原理,请参阅 CSFLE 基础知识。

如需详细了解本指南中提到的主题,请参阅以下链接:

后退

通过 AWS 使用客户端字段级自动加密

在此页面上