KeyVault.getKeyByAltName()

在此页面上

行为

例子

4.2 版本中的新增功能。

KeyVault.getKeyByAltName(keyAltName)

获取具有指定 keyAltName 的所有数据加密密钥。

getKeyByAltName() 通过以下语法实现：

keyVault = db.getMongo().getKeyVault()
keyVault.getKeyByAltName("keyAltName")

返回：	表示匹配数据加密密钥的文档。

行为

需要在数据库连接上配置客户端字段级加密

mongosh客户端字段级加密方法需要启用客户端字段级加密的数据库连接。如果当前数据库连接不是在启用客户端字段级加密的情况下启动的，则：

使用Mongo() 中的mongosh 构造函数与所需的客户端字段级加密选项建立连接。Mongo() 方法支持以下用于客户主密钥 (CMK) 管理的密钥管理服务 (KMS) 提供商：
或
使用mongosh命令行选项，通过所需选项建立连接。命令行选项仅支持用于 CMK 管理的Amazon Web Services KMS提供商。

例子

以下示例使用本地托管的 KMS 进行客户端字段级加密配置。

启动 mongosh

启动mongosh客户端。

mongosh --nodb

生成密钥

要为本地托管的密钥配置客户端字段级加密，请生成一个不带换行符的 base64 编码的 96 字节字符串。

const TEST_LOCAL_KEY = require("crypto").randomBytes(96).toString("base64")

创建客户端字段级加密选项

使用生成的本地密钥字符串创建客户端字段级加密选项：

 var autoEncryptionOpts = {
   "keyVaultNamespace" : "encryption.__dataKeys",
   "kmsProviders" : {
     "local" : {
       "key" : BinData(0, TEST_LOCAL_KEY)
     }
   }
 }

创建加密客户端

使用配置了客户端字段级加密选项的Mongo()构造函数来创建数据库连接。将mongodb://myMongo.example.net URI 替换为目标集群的连接字符串 URI 。

encryptedClient = Mongo(
  "mongodb://myMongo.example.net:27017/?replSetName=myMongo",
   autoEncryptionOpts
)

检索KeyVault对象并使用KeyVault.getKeyByAltName()方法检索其keyAltNames数组包含指定密钥备用名称的数据加密密钥：

keyVault.getKeyByAltName("data-encryption-key")

getKeyByAltName() 返回以下数据加密密钥：

{
    "_id" : UUID("b4b41b33-5c97-412e-a02b-743498346079"),
    "keyMaterial" : BinData(0,"PXRsLOAYxhzTS/mFQAI8486da7BwZgqA91UI7NKz/T/AjB0uJZxTvhvmQQsKbCJYsWVS/cp5Rqy/FUX2zZwxJOJmI3rosPhzV0OI5y1cuXhAlLWlj03CnTcOSRzE/YIrsCjMB0/NyiZ7MRWUYzLAEQnE30d947XCiiHIb8a0kt2SD0so8vZvSuP2n0Vtz4NYqnzF0CkhZSWFa2e2yA=="),
    "creationDate" : ISODate("2019-08-12T21:21:30.569Z"),
    "updateDate" : ISODate("2019-08-12T21:21:30.569Z"),
    "status" : 0,
    "version" : NumberLong(0),
    "masterKey" : {
        "provider" : "local"
    },
    "keyAltNames" : [
        "data-encryption-key"
    ]
}

← KeyVault.removeKeyAlternateName()

KeyVault.rewrapManyDataKey() →