的keyring_encrypted_file
插件是MySQL企业版的一个扩展,一个商业产品。要了解有关商业产品的更多信息,请参见https://www.10bet靠谱mysql.com/products/.
的keyring_encrypted_file
Keyring插件将Keyring数据存储在服务器主机本地的加密、密码保护文件中。
对于加密密钥管理,使用keyring_encrypted_file
插件并不打算作为法规遵从性解决方案。诸如PCI、FIPS等安全标准要求使用密钥管理系统来保护、管理和保护密钥库或硬件安全模块(hsm)中的加密密钥。
安装keyring_encrypted_file
的一般说明章节6.4.4.3,“Keyring插件安装”,以及特定于的配置信息keyring_encrypted_file
在这里找到。
为了在服务器启动过程中可用,keyring_encrypted_file
必须使用——early-plugin-load
选择。若要指定加密keyring数据文件的密码,请设置keyring_encrypted_file_password
系统变量。(密码必须输入;如果在服务器启动时未指定,keyring_encrypted_file
初始化失败。)的keyring_encrypted_file_data
属性所使用的文件的位置keyring_encrypted_file
数据存储插件。默认值是平台特定的。若要显式配置文件位置,请在启动时设置变量值。例如,在服务器中使用这些行my.cnf
文件,调整所以
根据需要为您的平台添加后缀和文件位置,并替换您选择的密码:
(mysqld) early-plugin-load = keyring_encrypted_file。因此keyring_encrypted_file_data=/usr/local/mysql/mysql-keyring/keyring-encrypted keyring_encrypted_file_password=密码
因为my.cnf
文件存储密码时,写如所示,它应该有一个限制模式,只有用于运行MySQL服务器的帐户可以访问。
密匙环操作是事务性的keyring_encrypted_file
插件在写操作期间使用备份文件,以确保在操作失败时可以回滚到原始文件。属性的值与备份文件名相同keyring_encrypted_file_data
后缀为的系统变量.backup
.
属性所使用的系统变量的详细信息keyring_encrypted_file
插件,看到章节6.4.4.18,“Keyring系统变量”.
若要确保仅在存在正确的密匙环存储文件时才刷新密钥,请keyring_encrypted_file
在文件中存储密匙环的SHA-256校验和。在更新文件之前,插件会验证它是否包含预期的校验和。此外,keyring_encrypted_file
写入文件时使用AES加密文件内容,读取文件后解密文件内容。
的keyring_encrypted_file
插件支持组成标准MySQL Keyring服务接口的功能。由这些函数执行的密匙环操作可以在两个级别访问:
SQL接口:在SQL语句中,调用中描述的函数第6.4.4.14节通用密匙环密匙管理功能.
C接口:在C语言代码中,调用中描述的keyring服务函数第5.6.9.2节“密匙环服务”.
示例(使用SQL接口):
SELECT keyring_key_generate('MyKey', 'AES', 32);选择keyring_key_remove(“MyKey”);
所允许的键值的特征的信息keyring_encrypted_file
,请参阅章节6.4.4.12,“支持的Keyring密钥类型和长度”.