Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs 菜单
Docs 主页
/ /
Fundamentals
Docs 主页
/ /
可查询加密
/
Fundamentals
Docs 主页
/
开发中
/
正在使用的加密
/
可查询加密
/
Fundamentals

创建加密模式

关于此任务

要使加密字段可查询,请创建加密模式。 此模式定义了哪些字段可查询,以及允许哪些查询类型。 有关更多信息,请参阅加密字段和启用的查询。

重要

可查询Queryable Encryption支持相等和范围查询。 您只能为一种查询类型配置一个字段。

开始之前

当您将加密字段设置为可查询时,请考虑性能和安全性。 有关每个配置选项如何影响这些字段的详细信息,请参阅配置加密字段以实现最佳搜索和存储。

字段参考

您可以为 encryptedFieldsObjectfields数组中的每个字段配置加密。下表描述了可用的子字段:

字段
类型
说明

path

字符串

必需。要加密的字段的点表示法路径,例如 "patientInfo.ssn"。您可以指定除 _id字段之外的任何字段。

bsonType

字符串

必需。字段要加密的BSON类型。有关支持类型的完整列表,请参阅支持和不支持的BSON类型。

keyId

UUID

可选.用于加密该字段的 DEK 的 UUID。UUID 是子类型 4 的BSON 二进制数据元素。

密钥 ID 必须是唯一的。指定已在使用的 keyId 会返回错误。

如果省略,则可以使用 createEncryptedCollection() 辅助方法自动创建密钥。

queries

对象

可选.启用对此加密字段的查询。如果省略,则字段将被加密,但不可查询。

要学习;了解有关查询选项的更多信息,请参阅配置加密字段以实现最佳搜索和存储。

步骤

1

创建JSON加密模式文档。

包含一个带有嵌套fields大量的encryptedFieldsObject

const encryptedFieldsObject = {
   fields: []
}
2

指定要加密的字段。

  1. pathbsonType字符串添加到文档的字段大量中:

    const encryptedFieldsObject = {
       fields: [
          {
             path: "myDocumentField",
             bsonType: "int"
          }
       ]
    }

    重要

    您可以指定除 _id 字段之外的任何字段进行加密。

  2. 如果使用显式加密,请添加包含DEK ID 的keyId字段:

    {
       path: "myDocumentField",
       bsonType: "int",
       keyId: "<unique data encryption key>"
    }

    提示

    通过自动加密,MongoDB 为每个字段创建加密密钥。 您可以在客户端上配置AutoEncryptionSettings ,然后使用createEncryptedCollection辅助方法创建集合。

3

对所需字段启用相等查询。

这样就可以使用$eq$ne$in$nin操作符进行查询。

添加queries对象设立queryType设置为"equality"

{
   path: "myDocumentField",
   bsonType: "int",
   queries: { queryType: "equality" }
}
4

对所需字段启用范围查询。

这样就可以使用$lt$lte$gt$gte操作符进行查询。

有关以下选项如何影响安全性和性能的详细信息,请参阅配置加密字段以实现最佳搜索和存储。

  1. 添加queries对象设立queryType设置为"range"

    {
       path: "myDocumentRangeField",
       bsonType: "int",
       queries: { queryType: "range" }
    }

  2. 设置以下字段:

    字段
    类型
    说明

    最小值和最大值

    与字段相同 bsonType

    如果bsonTypedecimaldouble ,则为必填项。 可选,但如果为intlongdate ,则强烈建议使用。 默认为bsonType的最小值和最大值。

    在可能的情况下,为查询指定边界可以提高性能。 如果查询的值超出这些包含边界, MongoDB将返回错误。

    {
       path: "myDocumentRangeField",
       bsonType: "int",
       queries: { queryType: "range",
                  min: 0,
                  max: 1200
       }
    }

例子

此示例展示了如何为医院数据创建加密模式。

考虑以下包含个人身份信息 (PII)、信用卡信息和敏感医疗信息的文档:

{
   "firstName": "Jon",
   "lastName": "Snow",
   "patientId": 12345187,
   "address": "123 Cherry Ave",
   "medications": [
      "Adderall",
      "Lipitor"
   ],
   "patientInfo": {
      "ssn": "921-12-1234",
      "billing": {
            "type": "visa",
            "number": "1234-1234-1234-1234"
      }
   }
}

为了确保 PII 和敏感医疗信息的安全,此加密模式添加了相关字段:

const encryptedFieldsObject = {
   fields: [
      {
         path: "patientId",
         bsonType: "int"
      },
      {
         path: "patientInfo.ssn",
         bsonType: "string"
      },
      {
         path: "medications",
         bsonType: "array"
      },
      {
         path: "patientInfo.billing",
         bsonType: "object"
      }
   ]
}

添加queries属性后, patientIdpatientInfo.ssn字段将成为可查询字段。 此示例启用相等查询:

const encryptedFieldsObject = {
   fields: [
      {
         path: "patientId",
         bsonType: "int",
         queries: { queryType: "equality" }
      },
      {
         path: "patientInfo.ssn",
         bsonType: "string",
         queries: { queryType: "equality" }
      },
      {
         path: "medications",
         bsonType: "array"
      },
      {
         path: "patientInfo.billing",
         bsonType: "object"
      },
   ]
}

后退

字段和查询

来年

在创建时加密集合

在此页面上