- 6.4.4.1密匙环组件与密匙环插件
- 6.4.4.2安装密匙环组件
- 6.4.4.3安装密匙环插件
- 6.4.4.4使用component_keyring_file基于文件的Keyring组件
- 6.4.4.5使用component_keyring_encrypted_file基于文件的加密密匙环组件
- 6.4.4.6使用keyring_file基于文件的Keyring插件
- 6.4.4.7使用keyring_encrypted_file基于加密文件的Keyring插件
- 6.4.4.8使用keyring_okv KMIP插件
- 6.4.4.9使用keyring_aws Amazon Web Services Keyring插件
- 6.4.4.10使用HashiCorp Vault密匙环插件
- 6.4.4.11使用Oracle Cloud Infrastructure Vault密匙环插件
- 6.4.4.12支持的密钥环密钥类型和长度
- 6.4.4.13在Keyring密钥库之间迁移密钥
- 6.4.4.14通用密钥环密钥管理功能
- 6.4.4.15插件专用密钥环密钥管理功能
- 6.4.4.16密匙环元数据
- 6.4.4.17密匙环命令选项
- 6.4.4.18密钥环系统变量
MySQL服务器支持密匙环,使内部服务器组件和插件能够安全地存储敏感信息,以供以后检索。实施包括以下要素:
管理后备存储或与存储后端通信的密匙环组件和插件。密匙环的使用涉及到从可用的组件和插件中安装一个密匙环。密匙环组件和插件都管理密匙环数据,但配置不同,可能有操作上的差异(请参阅第6.4.4.1节,“密匙环组件与密匙环插件”).
以下是可用的密匙环组件:
component_keyring_file
:将密匙环数据保存在服务器本地的文件中。在MySQL 8.0.24的MySQL社区版和MySQL企业版发行版中可用。看到第6.4.4.4节,“使用component_keyring_file基于文件的Keyring组件”.component_keyring_encrypted_file
:将密匙环数据保存在服务器主机本地的一个加密的、有密码保护的文件中。在MySQL 8.0.24以上的MySQL企业版发行版中可用。看到第6.4.4.5节,“使用component_keyring_encrypted_file基于加密文件的密匙环组件”.
以下是可用的密匙环插件:
keyring_file
:将密匙环数据保存在服务器本地的文件中。在MySQL社区版和MySQL企业版发行版中可用。看到第6.4.4.6节,“使用keyring_file基于文件的Keyring插件”.keyring_encrypted_file
:将密匙环数据保存在服务器主机本地的一个加密的、有密码保护的文件中。在MySQL企业版发行版中可用。看到第6.4.4.7节,“使用基于加密文件的keyring_encrypted_file Keyring插件”.keyring_okv
:一个KMIP 1.1插件,用于与KMIP兼容的后端密匙环存储产品,如Oracle密钥库和Gemalto SafeNet KeySecure Appliance。在MySQL企业版发行版中可用。看到第6.4.4.8节“使用keyring_okv KMIP Plugin”.keyring_aws
:与Amazon Web Services密钥管理服务通信以生成密钥,并使用本地文件进行密钥存储。在MySQL企业版发行版中可用。看到第6.4.4.9节,“使用keyring_aws Amazon Web Services Keyring Plugin”.keyring_hashicorp
:与HashiCorp Vault通信,提供后端存储。在MySQL 8.0.18以上的MySQL企业版发行版中可用。看到第6.4.4.10节“使用HashiCorp Vault Keyring插件”.keyring_oci
:通过Oracle Cloud Infrastructure Vault进行后端存储通信。在MySQL 8.0.22以上的MySQL企业版发行版中可用。看到第6.4.4.11节“使用Oracle Cloud Infrastructure Vault密匙环插件”.
用于密匙环密匙管理的密匙环服务接口。该服务可在两个级别访问:
SQL接口:在SQL语句中,调用中描述的函数第6.4.4.14节“通用密钥环密钥管理功能”.
C接口:在C语言代码中调用keyring服务函数第5.6.9.2节“密匙环服务”.
关键元数据访问:
性能模式
keyring_keys
表公开密匙环中键的元数据。密钥元数据包括密钥id、密钥所有者和后端密钥id。的keyring_keys
表不公开任何敏感的密匙环数据,如键内容。MySQL 8.0.16版本可用。看到第27.12.18.2节“keyring_keys表”.性能模式
keyring_component_status
表提供有关正在使用的密匙环组件的状态信息(如果安装了密匙环组件)。MySQL 8.0.24版本可用。看到第27.12.18.1节,“keyring_component_status表”.
一个关键的迁移能力。MySQL支持密钥库之间的密钥迁移,使dba能够将MySQL安装从一个密钥库切换到另一个密钥库。看到第6.4.4.13节“在密钥环密钥存储库之间迁移密钥”.
从MySQL 8.0.24开始,对密匙环插件的实现进行了修改,以使用组件基础设施。这可以通过使用名为
daemon_keyring_proxy_plugin
它充当了插件和组件服务api之间的桥梁。看到第5.6.8节“Keyring代理桥插件”.
对于加密密钥管理,需要使用component_keyring_file
而且component_keyring_encrypted_file
组件,keyring_file
而且keyring_encrypted_file
插件并不打算作为法规遵从性解决方案。诸如PCI、FIPS等安全标准要求使用密钥管理系统来保护、管理和保护密钥库或硬件安全模块(hms)中的加密密钥。
在MySQL中,密匙环服务消费者包括:
的
InnoDB
存储引擎使用密匙环存储表空间加密的密匙。看到第15.13节“InnoDB数据静止加密”.MySQL企业审计使用密匙环存储审计日志文件的加密密码。看到加密审计日志文件.
二进制日志和中继日志管理支持基于密匙环的日志文件加密。激活日志文件加密后,密匙环将存储用于加密二进制日志文件和中继日志文件密码的密钥。看到第17.3.2节“加密二进制日志文件和中继日志文件”.
有关一般密匙环安装说明,请参见第6.4.4.2节“密匙环组件安装”,第6.4.4.3节“密匙环插件安装”.有关特定于给定密匙环组件或插件的安装和配置信息,请参阅描述它的部分。
有关使用密匙环函数的信息,请参见第6.4.4.14节“通用密钥环密钥管理功能”.
密匙环组件、插件和函数访问提供到密匙环接口的密匙环服务。有关访问此服务和编写密匙环插件的信息,请参见第5.6.9.2节“密匙环服务”,写密匙环插件.