- 6.4.1 Keyring组件与Keyring插件的对比
- 6.4.2安装Keyring组件
- 6.4.3 Keyring插件安装
- 6.4.4使用component_keyring_file基于文件的Keyring组件
- 6.4.5使用component_keyring_encrypted_file加密文件Keyring组件
- 6.4.6使用keyring_file基于文件的Keyring插件
- 6.4.7使用keyring_encrypted_file加密文件Keyring插件
- 6.4.8使用keyring_okv KMIP插件
- 6.4.9使用keyring_aws亚马逊Web服务Keyring插件
- 6.4.10使用HashiCorp Vault密匙环插件
- 6.4.11使用Oracle Cloud Infrastructure Vault Keyring插件
- 6.4.12支持的Keyring密钥类型和长度
- 6.4.13在Keyring密钥库之间迁移密钥
- 6.4.14通用Keyring密钥管理功能
- 6.4.15插件Keyring密钥管理功能
- 6.4.16密匙环元数据
- 6.4.17 Keyring命令选项
- 6.4.18 Keyring系统变量
MySQL服务器支持一个密匙环,允许内部服务器组件和插件安全地存储敏感信息,以供以后检索。执行工作包括以下内容:
管理后台存储或与存储后端通信的密匙环组件和插件。密匙环的使用涉及从可用组件和插件中安装一个密匙环。密匙环组件和插件都管理密匙环数据,但配置不同,可能有操作上的差异(参见第6.4.1节,“密匙环组件与密匙环插件”).
这些钥匙环组件是可用的:
component_keyring_file
:将密匙环数据存储在服务器主机本地的一个文件中。在MySQL 8.0.24的社区版和企业版中提供。看到第6.4.4节,“使用基于文件的keyring_component_file Keyring组件”.component_keyring_encrypted_file
:将密匙环数据存储在服务器主机本地的一个加密的、密码保护的文件中。可在MySQL 8.0.24的企业版发行版中使用。看到第6.4.5节,“使用component_keyring_encrypted_file加密的基于文件的密匙环组件”.
这些keyring插件是可用的:
keyring_file
:将密匙环数据存储在服务器主机本地的一个文件中。在MySQL社区版和MySQL企业版中提供。看到第6.4.6节,“使用基于文件的keyring_file Keyring插件”.keyring_encrypted_file
:将密匙环数据存储在服务器主机本地的一个加密的、密码保护的文件中。在MySQL企业版发行版中可用。看到第6.4.7节,“使用keyring_encrypted_file加密的基于文件的密匙环插件”.keyring_okv
: KMIP 1.1插件,用于与KMIP兼容的后端密匙环存储产品,如Oracle Key Vault和金雅拓SafeNet KeySecure Appliance。在MySQL企业版发行版中可用。看到第6.4.8节,“使用keyring_okv KMIP插件”.keyring_aws
:与Amazon Web Services密钥管理服务通信,生成密钥,并使用本地文件存储密钥。在MySQL企业版发行版中可用。看到第6.4.9节,“使用keyring_aws亚马逊Web服务Keyring插件”.keyring_hashicorp
:与HashiCorp Vault通信,用于后端存储。可在MySQL 8.0.18的企业版发行版中使用。看到第6.4.10节,“使用HashiCorp Vault密匙环插件”.keyring_oci
:与Oracle Cloud Infrastructure Vault通信,用于后端存储。在MySQL 8.0.22的企业版发行版中可用。看到第6.4.11节,“使用Oracle云基础设施库密匙环插件”.
keyring服务接口,用于keyring密钥管理。此服务可由两个级别访问:
SQL接口:在SQL语句中调用中描述的函数第6.4.14节,“通用密匙环密匙管理功能”.
C语言接口:在C语言代码中,调用中描述的keyring服务函数密匙环服务.
关键元数据访问:
性能模式
keyring_keys
表公开密匙环中密匙的元数据。密钥元数据包括密钥id、密钥所有者和后端密钥id。的keyring_keys
表不公开任何敏感的密匙环数据,如密匙内容。MySQL 8.0.16版本可用。看到keyring_keys表.性能模式
keyring_component_status
表中提供了正在使用的密匙环组件(如果安装了)的状态信息。MySQL 8.0.24版本可用。看到keyring_component_status表.
一个关键的迁移能力。MySQL支持在密钥存储库之间迁移密钥,使dba能够将MySQL安装从一个密钥存储库切换到另一个密钥存储库。看到第6.4.13节,“在密匙环密钥存储库之间迁移密钥”.
密匙环插件的实现在MySQL 8.0.24版本中进行了修订,以使用组件基础架构。使用名为
daemon_keyring_proxy_plugin
作为插件和组件服务api之间的桥梁。看到Keyring代理桥插件.
对于加密密钥管理,使用component_keyring_file
而且component_keyring_encrypted_file
组件,keyring_file
而且keyring_encrypted_file
插件并不是作为法规遵从性解决方案。诸如PCI、FIPS和其他安全标准需要使用密钥管理系统来保护密钥库或硬件安全模块中的加密密钥。
在MySQL中,密匙环服务的使用者包括:
的
InnoDB
存储引擎使用密匙环存储用于表空间加密的密钥。看到InnoDB静止数据加密.MySQL企业审计使用密匙环存储审计日志文件的加密密码。看到加密审计日志文件.
二进制日志和中继日志管理支持对日志文件进行基于密钥环的加密。激活日志文件加密后,密钥环存储用于加密二进制日志文件和中继日志文件的密码的密钥。看到加密二进制日志文件和中继日志文件.
有关通用钥匙环安装说明,请参阅第6.4.2节,“密匙环组件安装”,第6.4.3节,“密匙环插件安装”.有关特定于给定密匙环组件或插件的安装和配置信息,请参见描述它的部分。
有关使用密匙环函数的信息,请参见第6.4.14节,“通用密匙环密匙管理功能”.
密匙环组件、插件和函数访问提供密匙环接口的密匙环服务。有关访问此服务和编写密匙环插件的信息,请参见密匙环服务,写密匙环插件.