MySQL Keyring插件支持以下系统变量。使用它们来配置keyring插件操作。除非安装了适当的密匙环插件,否则这些变量是不可用的第6.4.4.3节“密匙环插件安装”).
-
命令行格式 ——keyring-aws-cmk-id =值
系统变量 keyring_aws_cmk_id
范围 全球 动态 是的 SET_VAR
提示应用没有 类型 字符串 从AWS KMS服务器获取的客户主密钥(CMK) ID
keyring_aws
插件。除非安装了该插件,否则此变量不可用。这个变量是必须的。如果没有指定,
keyring_aws
初始化失败。 -
命令行格式 ——keyring-aws-conf-file = file_name
系统变量 keyring_aws_conf_file
范围 全球 动态 没有 SET_VAR
提示应用没有 类型 文件名称 默认值 特定于平台的
控件的配置文件的位置
keyring_aws
插件。除非安装了该插件,否则此变量不可用。在插件启动时,
keyring_aws
从配置文件读取AWS秘密访问密钥ID和密钥。为keyring_aws
插件要成功启动,配置文件必须存在并包含有效的秘密访问密钥信息,并按第6.4.4.9节,“使用keyring_aws Amazon Web Services Keyring Plugin”.默认文件名为
keyring_aws_conf
,位于默认密匙环文件目录中。该默认目录的位置与keyring_file_data
系统变量。有关详细信息,请参阅该变量的描述,以及在手动创建目录时需要考虑的事项。 -
命令行格式 ——keyring-aws-data-file
系统变量 keyring_aws_data_file
范围 全球 动态 没有 SET_VAR
提示应用没有 类型 文件名称 默认值 特定于平台的
控件的存储文件的位置
keyring_aws
插件。除非安装了该插件,否则此变量不可用。在插件启动时,如果赋值给
keyring_aws_data_file
指定一个不存在的文件keyring_aws
插件尝试创建它(以及它的父目录,如果需要)。如果文件存在,keyring_aws
将文件中包含的任何加密密钥读取到其内存缓存中。keyring_aws
不在内存中缓存未加密的密钥。默认文件名为
keyring_aws_data
,位于默认密匙环文件目录中。该默认目录的位置与keyring_file_data
系统变量。有关详细信息,请参阅该变量的描述,以及在手动创建目录时需要考虑的事项。 -
命令行格式 ——keyring-aws-region =值
系统变量 keyring_aws_region
范围 全球 动态 是的 SET_VAR
提示应用没有 类型 枚举 默认值 us-east-1
有效值 ap-northeast-1
ap-northeast-2
ap-south-1
ap-southeast-1
ap-southeast-2
eu-central-1
一来就
sa-east-1
us-east-1
us-west-1
us-west-2
的AWS区域
keyring_aws
插件。除非安装了该插件,否则此变量不可用。 -
命令行格式 ——keyring-encrypted-file-data = file_name
系统变量 keyring_encrypted_file_data
范围 全球 动态 是的 SET_VAR
提示应用没有 类型 文件名称 默认值 特定于平台的
控件用于安全数据存储的数据文件的路径名称
keyring_encrypted_file
插件。除非安装了该插件,否则此变量不可用。该文件的位置应该位于只考虑由密匙环插件使用的目录中。例如,不要将文件定位在data目录下。密匙环操作是事务性的
keyring_encrypted_file
插件在写操作期间使用备份文件,以确保在操作失败时可以回滚到原始文件。备份文件名与文件的值相同keyring_encrypted_file_data
后缀为的系统变量.backup
.用不一样
keyring_encrypted_file
data文件用于多个MySQL实例。每个实例都应该有自己唯一的数据文件。默认文件名为
keyring_encrypted
的值,该值位于特定于平台的目录中INSTALL_LAYOUT
CMake选项,如下表所示。若要显式指定文件的默认目录(如果是从源代码构建),请使用INSTALL_MYSQLKEYRINGDIR
CMake选择。INSTALL_LAYOUT
价值默认的 keyring_encrypted_file_data
价值黛比
,RPM
,SVR4
/var/lib/mysql-keyring / keyring_encrypted
否则 密匙环/ keyring_encrypted
下CMAKE_INSTALL_PREFIX
价值在插件启动时,如果赋值给
keyring_encrypted_file_data
指定一个不存在的文件keyring_encrypted_file
插件尝试创建它(以及它的父目录,如果需要)。如果手动创建目录,它应该具有限制性模式,并且只能由用于运行MySQL服务器的帐户访问。例如,在Unix和类Unix系统上,要使用
/usr/local/mysql/mysql-keyring
目录中,执行以下命令(以根
)创建目录并设置其模式和所有权:CD /usr/local/mysql mkdir mysql-keyring chmod 750 mysql-keyring chown mysql mysql-keyring CHGRP mysql mysql-keyring
如果
keyring_encrypted_file
插件无法创建或访问它的数据文件,它会向错误日志中写入错误消息。如果试图将运行时赋值给keyring_encrypted_file_data
导致一个错误,变量值保持不变。重要的一旦
keyring_encrypted_file
插件已经创建了它的数据文件并开始使用它,重要的是不要删除该文件。文件丢失会导致使用其密钥加密的数据变得不可访问。的值,允许重命名或移动文件keyring_encrypted_file_data
匹配)。 keyring_encrypted_file_password
命令行格式 ——keyring-encrypted-file-password =密码
系统变量 keyring_encrypted_file_password
范围 全球 动态 是的 SET_VAR
提示应用没有 类型 字符串 使用的密码
keyring_encrypted_file
插件。除非安装了该插件,否则此变量不可用。这个变量是必须的。如果没有指定,
keyring_encrypted_file
初始化失败。如果在选项文件中指定了该变量,则该文件应该具有限制性模式,并且只能由用于运行MySQL服务器的帐户访问。
重要的一旦
keyring_encrypted_file_password
值已设置,更改它不会旋转密匙环密码,并可能使服务器不可访问。如果提供了错误的密码,则keyring_encrypted_file
插件无法从加密的密匙环文件加载密匙。在运行时无法显示密码值
显示变量
或性能架构global_variables
表,因为显示值是模糊的。-
命令行格式 ——keyring-file-data = file_name
系统变量 keyring_file_data
范围 全球 动态 是的 SET_VAR
提示应用没有 类型 文件名称 默认值 特定于平台的
控件用于安全数据存储的数据文件的路径名称
keyring_file
插件。除非安装了该插件,否则此变量不可用。该文件的位置应该位于只考虑由密匙环插件使用的目录中。例如,不要将文件定位在data目录下。密匙环操作是事务性的
keyring_file
插件在写操作期间使用备份文件,以确保在操作失败时可以回滚到原始文件。备份文件名与文件的值相同keyring_file_data
后缀为的系统变量.backup
.用不一样
keyring_file
data文件用于多个MySQL实例。每个实例都应该有自己唯一的数据文件。默认文件名为
密匙环
的值,该值位于特定于平台的目录中INSTALL_LAYOUT
CMake选项,如下表所示。若要显式指定文件的默认目录(如果是从源代码构建),请使用INSTALL_MYSQLKEYRINGDIR
CMake选择。INSTALL_LAYOUT
价值默认的 keyring_file_data
价值黛比
,RPM
,SVR4
/var/lib/mysql-keyring /密匙环
否则 密匙环/密匙环
下CMAKE_INSTALL_PREFIX
价值在插件启动时,如果赋值给
keyring_file_data
指定一个不存在的文件keyring_file
插件尝试创建它(以及它的父目录,如果需要)。如果手动创建目录,它应该具有限制性模式,并且只能由用于运行MySQL服务器的帐户访问。例如,在Unix和类Unix系统上,要使用
/usr/local/mysql/mysql-keyring
目录中,执行以下命令(以根
)创建目录并设置其模式和所有权:CD /usr/local/mysql mkdir mysql-keyring chmod 750 mysql-keyring chown mysql mysql-keyring CHGRP mysql mysql-keyring
如果
keyring_file
插件无法创建或访问它的数据文件,它会向错误日志中写入错误消息。如果试图将运行时赋值给keyring_file_data
导致一个错误,变量值保持不变。重要的一旦
keyring_file
插件已经创建了它的数据文件并开始使用它,重要的是不要删除该文件。例如,InnoDB
使用该文件存储用于解密所使用表中的数据的主密钥InnoDB
表空间加密;看到第15.13节“InnoDB数据静止加密”.文件丢失会导致这些表中的数据变得不可访问。的值,允许重命名或移动文件keyring_file_data
匹配)。建议您在创建第一个加密表之后以及主密钥旋转前后立即创建密匙环数据文件的单独备份。 -
命令行格式 ——keyring-hashicorp-auth-path =值
介绍了 8.0.18 系统变量 keyring_hashicorp_auth_path
范围 全球 动态 是的 SET_VAR
提示应用没有 类型 字符串 默认值 / v1 /认证/ approle /登录
在HashiCorp Vault服务器中启用AppRole身份验证的身份验证路径,供
keyring_hashicorp
插件。除非安装了该插件,否则此变量不可用。 -
命令行格式 ——keyring-hashicorp-ca-path = file_name
介绍了 8.0.18 系统变量 keyring_hashicorp_ca_path
范围 全球 动态 是的 SET_VAR
提示应用没有 类型 文件名称 默认值 空字符串
MySQL服务器可访问的本地文件的绝对路径名,该文件包含一个适当格式化的TLS证书颁发机构供
keyring_hashicorp
插件。除非安装了该插件,否则此变量不可用。如果未设置此变量,则
keyring_hashicorp
插件在不使用服务器证书验证的情况下打开HTTPS连接,并信任HashiCorp Vault服务器提供的任何证书。为了安全起见,必须假设Vault服务器不是恶意的,并且不可能发生中间人攻击。如果这些假设是无效的,设置keyring_hashicorp_ca_path
到受信任CA证书的路径。(例如,对于证书和密钥准备,这是company.crt
文件。) -
命令行格式 ——keyring-hashicorp-caching[={|在}]
介绍了 8.0.18 系统变量 keyring_hashicorp_caching
范围 全球 动态 是的 SET_VAR
提示应用没有 类型 布尔 默认值 从
是否启用可选的内存中键缓存
keyring_hashicorp
插件从HashiCorp Vault服务器缓存密钥。除非安装了该插件,否则此变量不可用。如果缓存被启用,插件将在初始化期间填充它。否则,插件在初始化期间只填充键列表。启用缓存是一种折衷方案:它提高了性能,但在内存中保留了敏感密钥信息的副本,这对于安全目的可能是不可取的。
keyring_hashicorp_commit_auth_path
介绍了 8.0.18 系统变量 keyring_hashicorp_commit_auth_path
范围 全球 动态 没有 SET_VAR
提示应用没有 类型 字符串 此变量与
keyring_hashicorp_auth_path
,它从中获取期间的值keyring_hashicorp
插件初始化。除非安装了该插件,否则此变量不可用。它反映了”承诺”初始化成功时实际用于插件操作的值。有关其他信息,请参见keyring_hashicorp配置.keyring_hashicorp_commit_ca_path
介绍了 8.0.18 系统变量 keyring_hashicorp_commit_ca_path
范围 全球 动态 没有 SET_VAR
提示应用没有 类型 字符串 此变量与
keyring_hashicorp_ca_path
,它从中获取期间的值keyring_hashicorp
插件初始化。除非安装了该插件,否则此变量不可用。它反映了”承诺”初始化成功时实际用于插件操作的值。有关其他信息,请参见keyring_hashicorp配置.keyring_hashicorp_commit_caching
介绍了 8.0.18 系统变量 keyring_hashicorp_commit_caching
范围 全球 动态 没有 SET_VAR
提示应用没有 类型 字符串 此变量与
keyring_hashicorp_caching
,它从中获取期间的值keyring_hashicorp
插件初始化。除非安装了该插件,否则此变量不可用。它反映了”承诺”初始化成功时实际用于插件操作的值。有关其他信息,请参见keyring_hashicorp配置.keyring_hashicorp_commit_role_id
介绍了 8.0.18 系统变量 keyring_hashicorp_commit_role_id
范围 全球 动态 没有 SET_VAR
提示应用没有 类型 字符串 此变量与
keyring_hashicorp_role_id
,它从中获取期间的值keyring_hashicorp
插件初始化。除非安装了该插件,否则此变量不可用。它反映了”承诺”初始化成功时实际用于插件操作的值。有关其他信息,请参见keyring_hashicorp配置.keyring_hashicorp_commit_server_url
介绍了 8.0.18 系统变量 keyring_hashicorp_commit_server_url
范围 全球 动态 没有 SET_VAR
提示应用没有 类型 字符串 此变量与
keyring_hashicorp_server_url
,它从中获取期间的值keyring_hashicorp
插件初始化。除非安装了该插件,否则此变量不可用。它反映了”承诺”初始化成功时实际用于插件操作的值。有关其他信息,请参见keyring_hashicorp配置.keyring_hashicorp_commit_store_path
介绍了 8.0.18 系统变量 keyring_hashicorp_commit_store_path
范围 全球 动态 没有 SET_VAR
提示应用没有 类型 字符串 此变量与
keyring_hashicorp_store_path
,它从中获取期间的值keyring_hashicorp
插件初始化。除非安装了该插件,否则此变量不可用。它反映了”承诺”初始化成功时实际用于插件操作的值。有关其他信息,请参见keyring_hashicorp配置.-
命令行格式 ——keyring-hashicorp-role-id =值
介绍了 8.0.18 系统变量 keyring_hashicorp_role_id
范围 全球 动态 是的 SET_VAR
提示应用没有 类型 字符串 默认值 空字符串
HashiCorp Vault AppRole身份验证角色ID,供
keyring_hashicorp
插件。除非安装了该插件,否则此变量不可用。格式必须为UUID。这个变量是必须的。如果没有指定,
keyring_hashicorp
初始化失败。 -
命令行格式 ——keyring-hashicorp-secret-id =值
介绍了 8.0.18 系统变量 keyring_hashicorp_secret_id
范围 全球 动态 是的 SET_VAR
提示应用没有 类型 字符串 默认值 空字符串
HashiCorp Vault AppRole身份验证秘密ID,供
keyring_hashicorp
插件。除非安装了该插件,否则此变量不可用。格式必须为UUID。这个变量是必须的。如果没有指定,
keyring_hashicorp
初始化失败。这个变量的值是敏感的,所以它的值被
*
字符时显示。 -
命令行格式 ——keyring-hashicorp-server-url =值
介绍了 8.0.18 系统变量 keyring_hashicorp_server_url
范围 全球 动态 是的 SET_VAR
提示应用没有 类型 字符串 默认值 https://127.0.0.1:8200
HashiCorp Vault服务器URL,供
keyring_hashicorp
插件。除非安装了该插件,否则此变量不可用。必须以https://
. -
命令行格式 ——keyring-hashicorp-store-path =值
介绍了 8.0.18 系统变量 keyring_hashicorp_store_path
范围 全球 动态 是的 SET_VAR
提示应用没有 类型 字符串 默认值 空字符串
类提供适当的AppRole凭据时,HashiCorp Vault服务器中的存储路径是可写的
keyring_hashicorp
插件。除非安装了该插件,否则此变量不可用。要指定凭据,请设置keyring_hashicorp_role_id
而且keyring_hashicorp_secret_id
系统变量(例如,如keyring_hashicorp配置).这个变量是必须的。如果没有指定,
keyring_hashicorp
初始化失败。 -
命令行格式 ——keyring-oci-ca-certificate = file_name
介绍了 8.0.22 系统变量 keyring_oci_ca_certificate
范围 全球 动态 没有 SET_VAR
提示应用没有 类型 字符串 默认值 空字符串
的CA证书包文件的路径名
keyring_oci
插件用于Oracle云基础设施证书验证。除非安装了该插件,否则此变量不可用。该文件包含一个或多个证书,用于对等验证。如果不指定文件,则使用系统上安装的默认CA包。如果值为
禁用
(区分大小写),keyring_oci
不进行证书验证。 -
命令行格式 ——keyring-oci-compartment = ocid
介绍了 8.0.22 系统变量 keyring_oci_compartment
范围 全球 动态 没有 SET_VAR
提示应用没有 类型 字符串 租赁隔间的cid
keyring_oci
插件使用MySQL键的位置。除非安装了该插件,否则此变量不可用。使用前
keyring_oci
,如果MySQL分区或子分区不存在,则必须创建。这个隔间不应该包含金库钥匙或金库秘密。它不应该被MySQL Keyring以外的系统使用。有关管理隔间和获取cid的信息,请参见管理室.
这个变量是必须的。如果没有指定,
keyring_oci
初始化失败。 keyring_oci_encryption_endpoint
命令行格式 ——keyring-oci-encryption-endpoint =值
介绍了 8.0.22 系统变量 keyring_oci_encryption_endpoint
范围 全球 动态 没有 SET_VAR
提示应用没有 类型 字符串 的Oracle云基础架构加密服务器的端点
keyring_oci
插件用于为新密钥生成密文。除非安装了该插件,否则此变量不可用。加密端点是特定于保险库的,Oracle Cloud Infrastructure在创建保险库时分配它。若要获得端点cid,请查看您的
keyring_oci
金库,使用说明在金库管理.这个变量是必须的。如果没有指定,
keyring_oci
初始化失败。-
命令行格式 ——keyring-oci-key-file = file_name
介绍了 8.0.22 系统变量 keyring_oci_key_file
范围 全球 动态 没有 SET_VAR
提示应用没有 类型 字符串 包含RSA私钥的文件的路径名称
keyring_oci
插件用于Oracle云基础架构认证。除非安装了该插件,否则此变量不可用。您还必须通过Console上传相应的RSA公钥。控制台显示密钥指纹值,您可以使用该值设置
keyring_oci_key_fingerprint
系统变量。有关生成和上传API密钥的信息,请参见所需的键和ocid.
这个变量是必须的。如果没有指定,
keyring_oci
初始化失败。 -
命令行格式 ——keyring-oci-key-fingerprint =值
介绍了 8.0.22 系统变量 keyring_oci_key_fingerprint
范围 全球 动态 没有 SET_VAR
提示应用没有 类型 字符串 RSA私钥指纹
keyring_oci
插件用于Oracle云基础架构认证。除非安装了该插件,否则此变量不可用。当需要在创建API密钥时获取密钥指纹时,使用命令:
openssl rsa -pubout -outform DER -in ~/.oci/oci_api_key。Pem | openssl md5 -c . Pem
也可以从控制台获取指纹信息,在上传RSA公钥时,控制台会自动显示指纹信息。
有关获取密钥指纹的信息,请参见所需的键和ocid.
这个变量是必须的。如果没有指定,
keyring_oci
初始化失败。 keyring_oci_management_endpoint
命令行格式 ——keyring-oci-management-endpoint =值
介绍了 8.0.22 系统变量 keyring_oci_management_endpoint
范围 全球 动态 没有 SET_VAR
提示应用没有 类型 字符串 Oracle云基础架构密钥管理服务器的端点
keyring_oci
插件用于列出现有的键。除非安装了该插件,否则此变量不可用。关键管理端点是特定于保险库的,Oracle云基础设施在保险库创建时分配它。若要获得端点cid,请查看您的
keyring_oci
金库,使用说明在金库管理.这个变量是必须的。如果没有指定,
keyring_oci
初始化失败。-
命令行格式 ——keyring-oci-master-key = ocid
介绍了 8.0.22 系统变量 keyring_oci_master_key
范围 全球 动态 没有 SET_VAR
提示应用没有 类型 字符串 的Oracle云基础架构主加密密钥的cid
keyring_oci
插件用于秘密的加密。除非安装了该插件,否则此变量不可用。使用前
keyring_oci
,如果Oracle Cloud Infrastructure隔间不存在,则必须为它创建一个加密密钥。为生成的密钥提供一个特定于mysql的名称,不要将其用于其他目的。有关密钥创建的信息,请参见钥匙管理.
这个变量是必须的。如果没有指定,
keyring_oci
初始化失败。 -
命令行格式 ——keyring-oci-secrets-endpoint =值
介绍了 8.0.22 系统变量 keyring_oci_secrets_endpoint
范围 全球 动态 没有 SET_VAR
提示应用没有 类型 字符串 Oracle云基础设施的端点保密服务器
keyring_oci
插件用于列出、创建和退出秘密。除非安装了该插件,否则此变量不可用。秘密端点是特定于保险库的,Oracle云基础设施在创建保险库时分配它。若要获得端点cid,请查看您的
keyring_oci
金库,使用说明在金库管理.这个变量是必须的。如果没有指定,
keyring_oci
初始化失败。 -
命令行格式 ——keyring-oci-tenancy = ocid
介绍了 8.0.22 系统变量 keyring_oci_tenancy
范围 全球 动态 没有 SET_VAR
提示应用没有 类型 字符串 的Oracle云基础设施租户的cid
keyring_oci
插件使用作为MySQL隔间的位置。除非安装了该插件,否则此变量不可用。使用前
keyring_oci
,如果租户不存在,则必须创建租户。要从控制台获取租户cid,请使用下面的说明所需的键和ocid.这个变量是必须的。如果没有指定,
keyring_oci
初始化失败。 -
命令行格式 ——keyring-oci-user = ocid
介绍了 8.0.22 系统变量 keyring_oci_user
范围 全球 动态 没有 SET_VAR
提示应用没有 类型 字符串 的Oracle云基础架构用户的cid
keyring_oci
插件用于云连接。除非安装了该插件,否则此变量不可用。使用前
keyring_oci
,此用户必须存在,并被授予使用已配置的Oracle Cloud Infrastructure租户、隔间和保险库资源的访问权。要从控制台获取用户cid,请使用下面的说明所需的键和ocid.
这个变量是必须的。如果没有指定,
keyring_oci
初始化失败。 -
命令行格式 ——keyring-oci-vaults-endpoint =值
介绍了 8.0.22 系统变量 keyring_oci_vaults_endpoint
范围 全球 动态 没有 SET_VAR
提示应用没有 类型 字符串 Oracle云基础设施的端点是数据库服务器
keyring_oci
插件用于获取秘密的值。除非安装了该插件,否则此变量不可用。vault端点是特定于vault的,Oracle云基础设施在创建vault时分配它。若要获得端点cid,请查看您的
keyring_oci
金库,使用说明在金库管理.这个变量是必须的。如果没有指定,
keyring_oci
初始化失败。 -
命令行格式 ——keyring-oci-virtual-vault = ocid
介绍了 8.0.22 系统变量 keyring_oci_virtual_vault
范围 全球 动态 没有 SET_VAR
提示应用没有 类型 字符串 Oracle云基础设施库的cid
keyring_oci
插件用于加密操作。除非安装了该插件,否则此变量不可用。使用前
keyring_oci
,如果MySQL分区不存在,则必须在MySQL分区中创建一个新的保险库。(或者,您也可以重用MySQL分区的父分区中的现有库。)隔间用户只能看到和使用各自隔间中的键。有关创建保险库和获取保险库OCID的信息,请参见金库管理.
这个变量是必须的。如果没有指定,
keyring_oci
初始化失败。 -
命令行格式 ——keyring-okv-conf-dir = dir_name
系统变量 keyring_okv_conf_dir
范围 全球 动态 是的 SET_VAR
提示应用没有 类型 目录名称 默认值 空字符串
用于存储配置信息的目录的路径名
keyring_okv
插件。除非安装了该插件,否则此变量不可用。该位置应该是只考虑由keyring_okv
插件。例如,不要定位到data目录下的目录。默认的
keyring_okv_conf_dir
Value为空。为keyring_okv
如果要访问Oracle密钥库,该值必须设置为包含Oracle密钥库配置和SSL材料的目录。有关设置此目录的说明,请参见第6.4.4.8节“使用keyring_okv KMIP Plugin”.该目录应该具有限制性模式,并且只有用于运行MySQL服务器的帐户才能访问该目录。例如,在Unix和类Unix系统上,要使用
/usr/local/mysql/mysql-keyring-okv
目录中,执行以下命令(以根
)创建目录并设置其模式和所有权:CD /usr/local/mysql mkdir mysql-keyring-okv chmod 750 mysql mysql-keyring-okv chown mysql mysql-keyring-okv CHGRP mysql mysql-keyring-okv
如果赋值给
keyring_okv_conf_dir
指定一个不存在的目录,或者该目录不包含允许建立到Oracle密钥库的连接的配置信息,keyring_okv
将错误消息写入错误日志。如果试图将运行时赋值给keyring_okv_conf_dir
导致错误,变量值和密匙环操作保持不变。 -
系统变量 keyring_operations
范围 全球 动态 是的 SET_VAR
提示应用没有 类型 布尔 默认值 在
是否启用密匙环操作。此变量在键迁移操作期间使用。看到第6.4.4.13节“在密钥环密钥存储库之间迁移密钥”.修改此变量所需的权限为
ENCRYPTION_KEY_ADMIN
除了两者之外SYSTEM_VARIABLES_ADMIN
或者被弃用的超级
特权。