Docs 主页 → 开发应用程序 → MongoDB Manual
KeyVault.getKeyByAltName()
4.2 版本中的新增功能。
KeyVault.getKeyByAltName(keyAltName)获取具有指定
keyAltName的所有数据加密密钥。getKeyByAltName()通过以下语法实现:keyVault = db.getMongo().getKeyVault() keyVault.getKeyByAltName("keyAltName") 返回: 表示匹配数据加密密钥的文档。 如果没有数据加密密钥具有指定的
keyAltName,则不返回任何内容。
行为
需要在数据库连接上配置客户端字段级加密
mongo客户端字段级加密方法需要启用客户端字段级加密的数据库连接。 如果当前数据库连接不是在启用客户端字段级加密的情况下启动的,则:
例子
以下示例使用本地托管的 KMS 进行客户端字段级加密配置。
为本地托管的密钥配置客户端字段级加密需要指定一个不带换行符的 base64 编码的 96 字节字符串。以下操作生成满足所述要求的密钥并将其加载到mongo shell:
TEST_LOCAL_KEY=$(echo "$(head -c 96 /dev/urandom | base64 | tr -d '\n')") mongosh --nodb --shell --eval "var TEST_LOCAL_KEY='$TEST_LOCAL_KEY'"
使用生成的本地密钥字符串创建客户端字段级加密对象:
var ClientSideFieldLevelEncryptionOptions = { "keyVaultNamespace" : "encryption.__dataKeys", "kmsProviders" : { "local" : { "key" : BinData(0, TEST_LOCAL_KEY) } } }
使用Mongo()构造函数创建具有客户端字段级加密选项的数据库连接。 将mongodb://myMongo.example.net URI 替换为目标集群的连接字符串 URI 。
encryptedClient = Mongo( "mongodb://myMongo.example.net:27017/?replSetName=myMongo", ClientSideFieldLevelEncryptionOptions )
检索KeyVault对象并使用KeyVault.getKeyByAltName()方法检索其keyAltNames数组包含指定密钥备用名称的数据加密密钥:
keyVault.getKeyByAltName("data-encryption-key")
getKeyByAltName() 返回以下数据加密密钥:
{ "_id" : UUID("b4b41b33-5c97-412e-a02b-743498346079"), "keyMaterial" : BinData(0,"PXRsLOAYxhzTS/mFQAI8486da7BwZgqA91UI7NKz/T/AjB0uJZxTvhvmQQsKbCJYsWVS/cp5Rqy/FUX2zZwxJOJmI3rosPhzV0OI5y1cuXhAlLWlj03CnTcOSRzE/YIrsCjMB0/NyiZ7MRWUYzLAEQnE30d947XCiiHIb8a0kt2SD0so8vZvSuP2n0Vtz4NYqnzF0CkhZSWFa2e2yA=="), "creationDate" : ISODate("2019-08-12T21:21:30.569Z"), "updateDate" : ISODate("2019-08-12T21:21:30.569Z"), "status" : 0, "version" : NumberLong(0), "masterKey" : { "provider" : "local" }, "keyAltNames" : [ "data-encryption-key" ] }