Docs 主页 → 开发应用程序 → MongoDB Manual
托管数据加密密钥
4.2 版本中的新增功能。
客户端字段级加密使用数据加密密钥进行加密和解密。 mongosh
辅助方法getKeyVault()
返回一个密钥保管库对象,用于创建、修改和删除数据加密密钥。
本页介绍使用mongosh
进行客户端字段级加密,而不涉及任何官方 MongoDB 4 。 2 + 兼容驱动程序。有关特定于驱动程序的数据加密密钥管理方法和语法,请参阅相关文档。
创建数据加密密钥
以下过程使用mongosh
创建数据加密密钥,用于客户端字段级加密和解密。有关使用4进行数据加密密钥管理的指导。 2 + 兼容驱动程序,请参阅驱动程序文档。
使用以下标签页选择适合您部署的 KMS :
管理数据加密密钥的备用名称
以下过程使用mongosh
管理数据加密密钥的备用名称。有关使用4进行数据加密密钥管理的指导。 2 + 兼容驱动程序,请参阅驱动程序文档。
如果仍在上述“mongosh
创建数据加密密钥” 步骤中配置的 会话中,则可以直接跳到步骤5 。
使用以下标签页选择适合您部署的KMS :
删除数据加密密钥
警告
删除数据加密密钥会使使用该密钥加密的所有字段永久不可读。
以下过程使用mongosh
从密钥保管库中删除数据加密密钥。有关使用4进行数据加密密钥管理的指导。 2 + 兼容驱动程序,请参阅驱动程序文档。
如果仍在上述“mongosh
创建数据加密密钥” 步骤中配置的 会话中,则可以直接跳到步骤5 。
使用以下标签页选择适合您部署的KMS :
检索现有数据加密密钥
要从密钥保管库检索现有的数据加密密钥文档,请执行以下任一操作:
使用
getKey()
通过UUID检索创建的密钥,或者使用
getKeyByAltName()
按备用名称检索密钥(如果已指定)。有关使用备用名称的更多信息,请参阅管理数据加密密钥的备用名称。
如果将数据加密密钥提供给官方4 . 2 + 兼容驱动程序要配置自动客户端字段级加密,必须使用 UUID string的base64
表示形式。
您可以在mongosh
中运行以下操作,将UUID
十六进制字符串转换为其base64
表示形式:
UUID("b4b41b33-5c97-412e-a02b-743498346079").base64()
为此命令提供您自己的数据加密密钥的UUID
。