MySQL 8.0版本说明
MySQL 8.0源代码文档10bet官方网站
MySQL Keyring插件支持以下系统变量。使用它们来配置keyring插件的操作。这些变量是不可用的,除非安装了适当的密匙环插件(参见第6.4.4.3节“Keyring插件安装”).
-
命令行格式 ——keyring-aws-cmk-id =值系统变量 keyring_aws_cmk_id范围 全球 动态 是的 SET_VAR提示应用没有 类型 字符串 从AWS KMS服务器获取的客户主密钥(CMK) ID
keyring_aws插件。除非安装了该插件,否则该变量不可用。这个变量是必须的。如果未指定,
keyring_aws初始化失败。 -
命令行格式 ——keyring-aws-conf-file = file_name系统变量 keyring_aws_conf_file范围 全球 动态 没有 SET_VAR提示应用没有 类型 文件名称 默认值 特定于平台的的配置文件的位置
keyring_aws插件。除非安装了该插件,否则该变量不可用。在插件启动时,
keyring_aws从配置文件读取AWS秘密访问密钥ID和密钥。为keyring_aws插件要成功启动,配置文件必须存在并且包含有效的秘密访问密钥信息,如第6.4.4.9节,“使用keyring_aws Amazon Web Services Keyring插件”.默认文件名为
keyring_aws_conf,位于默认的keyring文件目录中。此默认目录的位置与keyring_file_data系统变量。有关详细信息,请参阅该变量的描述,以及手动创建目录时需要考虑的事项。 -
命令行格式 ——keyring-aws-data-file系统变量 keyring_aws_data_file范围 全球 动态 没有 SET_VAR提示应用没有 类型 文件名称 默认值 特定于平台的的存储文件的位置
keyring_aws插件。除非安装了该插件,否则该变量不可用。在插件启动时,如果赋值给
keyring_aws_data_file指定一个不存在的文件keyring_aws插件尝试创建它(以及它的父目录,如果需要的话)。如果文件确实存在,keyring_aws将文件中包含的任何加密密钥读取到其内存缓存中。keyring_aws不在内存中缓存未加密的密钥。默认文件名为
keyring_aws_data,位于默认的keyring文件目录中。此默认目录的位置与keyring_file_data系统变量。有关详细信息,请参阅该变量的描述,以及手动创建目录时需要考虑的事项。 -
命令行格式 ——keyring-aws-region =值系统变量 keyring_aws_region范围 全球 动态 是的 SET_VAR提示应用没有 类型 枚举 默认值 us-east-1有效值 ap-northeast-1ap-northeast-2ap-south-1ap-southeast-1ap-southeast-2eu-central-1一来就sa-east-1us-east-1us-west-1us-west-2的AWS区域
keyring_aws插件。除非安装了该插件,否则该变量不可用。 -
命令行格式 ——keyring-encrypted-file-data = file_name系统变量 keyring_encrypted_file_data范围 全球 动态 是的 SET_VAR提示应用没有 类型 文件名称 默认值 特定于平台的用于安全存储数据的数据文件的路径名
keyring_encrypted_file插件。除非安装了该插件,否则该变量不可用。该文件的位置应该放在一个目录中,该目录仅供密匙环插件使用。例如,不要将文件定位在data目录下。密匙环操作是事务性的
keyring_encrypted_file插件在写操作时使用备份文件,以确保操作失败时可以回滚到原始文件。备份文件名称与参数的值相同keyring_encrypted_file_data后缀为的系统变量.backup.不使用相同的
keyring_encrypted_file为多个MySQL实例创建数据文件。每个实例都应该有自己唯一的数据文件。默认文件名为
keyring_encrypted的值,位于特定于平台的目录中,并取决于INSTALL_LAYOUTCMake选项,如下表所示。要显式指定文件的默认目录(如果您是从源代码构建),请使用INSTALL_MYSQLKEYRINGDIRCMake选择。INSTALL_LAYOUT价值默认的 keyring_encrypted_file_data价值黛比,RPM,SVR4/var/lib/mysql-keyring / keyring_encrypted否则 密匙环/ keyring_encrypted下CMAKE_INSTALL_PREFIX价值在插件启动时,如果赋值给
keyring_encrypted_file_data指定一个不存在的文件keyring_encrypted_file插件尝试创建它(以及它的父目录,如果需要的话)。如果您手动创建目录,它应该具有限制模式,并且只有用于运行MySQL服务器的帐户才能访问。例如,在Unix和类Unix系统上,使用
/usr/local/mysql/mysql-keyring目录下,执行以下命令(以根)创建目录,并设置其模式和归属:CD /usr/local/mysql mkdir mysqlkeyring chmod 750 mysqlkeyring chmod 750 mysqlkeyring CHGRP mysqlkeyring CHGRP如果
keyring_encrypted_file插件无法创建或访问其数据文件,它将错误消息写入错误日志。如果尝试将运行时赋值给keyring_encrypted_file_data导致错误,变量值保持不变。重要的一旦
keyring_encrypted_file插件已经创建了它的数据文件,并开始使用它,重要的是不要删除文件。文件丢失会导致无法访问使用其密钥加密的数据。(允许重命名或移动文件,只要您更改的值keyring_encrypted_file_data匹配)。 keyring_encrypted_file_password命令行格式 ——keyring-encrypted-file-password =密码系统变量 keyring_encrypted_file_password范围 全球 动态 是的 SET_VAR提示应用没有 类型 字符串 使用的密码
keyring_encrypted_file插件。除非安装了该插件,否则该变量不可用。这个变量是必须的。如果未指定,
keyring_encrypted_file初始化失败。如果在选项文件中指定了该变量,则该文件应该具有限制模式,并且只有用于运行MySQL服务器的帐户才能访问。
重要的一旦
keyring_encrypted_file_password值已设置,更改它不会旋转密匙环密码,并可能使服务器无法访问。如果提供的密码不正确,则keyring_encrypted_file插件无法从加密的密匙环文件中加载密钥。在运行时无法显示密码值
显示变量或者性能模式global_variables因为显示值被混淆了。-
命令行格式 ——keyring-file-data = file_name系统变量 keyring_file_data范围 全球 动态 是的 SET_VAR提示应用没有 类型 文件名称 默认值 特定于平台的用于安全存储数据的数据文件的路径名
keyring_file插件。除非安装了该插件,否则该变量不可用。该文件的位置应该放在一个目录中,该目录仅供密匙环插件使用。例如,不要将文件定位在data目录下。密匙环操作是事务性的
keyring_file插件在写操作时使用备份文件,以确保操作失败时可以回滚到原始文件。备份文件名称与参数的值相同keyring_file_data后缀为的系统变量.backup.不使用相同的
keyring_file为多个MySQL实例创建数据文件。每个实例都应该有自己唯一的数据文件。默认文件名为
密匙环的值,位于特定于平台的目录中,并取决于INSTALL_LAYOUTCMake选项,如下表所示。要显式指定文件的默认目录(如果您是从源代码构建),请使用INSTALL_MYSQLKEYRINGDIRCMake选择。INSTALL_LAYOUT价值默认的 keyring_file_data价值黛比,RPM,SVR4/var/lib/mysql-keyring /密匙环否则 密匙环/密匙环下CMAKE_INSTALL_PREFIX价值在插件启动时,如果赋值给
keyring_file_data指定一个不存在的文件keyring_file插件尝试创建它(以及它的父目录,如果需要的话)。如果您手动创建目录,它应该具有限制模式,并且只有用于运行MySQL服务器的帐户才能访问。例如,在Unix和类Unix系统上,使用
/usr/local/mysql/mysql-keyring目录下,执行以下命令(以根)创建目录,并设置其模式和归属:CD /usr/local/mysql mkdir mysqlkeyring chmod 750 mysqlkeyring chmod 750 mysqlkeyring CHGRP mysqlkeyring CHGRP如果
keyring_file插件无法创建或访问其数据文件,它将错误消息写入错误日志。如果尝试将运行时赋值给keyring_file_data导致错误,变量值保持不变。重要的一旦
keyring_file插件已经创建了它的数据文件,并开始使用它,重要的是不要删除文件。例如,InnoDB使用该文件存储用于解密使用的表中的数据的主密钥InnoDB表空间加密;看到章节15.13,“InnoDB静态数据加密”.文件的丢失会导致无法访问这些表中的数据。(允许重命名或移动文件,只要您更改的值keyring_file_data匹配)。建议在创建第一个加密表之后以及主密钥轮换前后立即创建一个单独的keyring数据文件备份。 -
命令行格式 ——keyring-hashicorp-auth-path =值介绍了 8.0.18 系统变量 keyring_hashicorp_auth_path范围 全球 动态 是的 SET_VAR提示应用没有 类型 字符串 默认值 / v1 /认证/ approle /登录在HashiCorp Vault服务器中启用apple身份验证的身份验证路径,供
keyring_hashicorp插件。除非安装了该插件,否则该变量不可用。 -
命令行格式 ——keyring-hashicorp-ca-path = file_name介绍了 8.0.18 系统变量 keyring_hashicorp_ca_path范围 全球 动态 是的 SET_VAR提示应用没有 类型 文件名称 默认值 空字符串MySQL服务器可访问的本地文件的绝对路径名,该文件包含一个格式正确的TLS证书颁发机构,供
keyring_hashicorp插件。除非安装了该插件,否则该变量不可用。如果未设置此变量,则
keyring_hashicorp插件打开HTTPS连接而不使用服务器证书验证,并信任由HashiCorp保险库服务器交付的任何证书。为了安全起见,必须假设Vault服务器不是恶意的,并且不可能发生中间人攻击。如果这些假设无效,设置keyring_hashicorp_ca_path到受信任CA证书的路径。(例如,在证书和密钥准备,这是company.crt文件。) -
命令行格式 ——keyring-hashicorp-caching[={|在}]介绍了 8.0.18 系统变量 keyring_hashicorp_caching范围 全球 动态 是的 SET_VAR提示应用没有 类型 布尔 默认值 从类使用的可选内存中键缓存
keyring_hashicorp从HashiCorp Vault服务器缓存密钥的插件。除非安装了该插件,否则该变量不可用。如果缓存被启用,插件将在初始化期间填充它。否则,插件在初始化期间只填充键列表。启用缓存是一种折衷:它提高了性能,但在内存中保留了敏感密钥信息的副本,出于安全目的,这可能是不希望看到的。
keyring_hashicorp_commit_auth_path介绍了 8.0.18 系统变量 keyring_hashicorp_commit_auth_path范围 全球 动态 没有 SET_VAR提示应用没有 类型 字符串 这个变量与
keyring_hashicorp_auth_path,它在运行期间从中获取其值keyring_hashicorp插件初始化。除非安装了该插件,否则该变量不可用。它反映了”承诺”初始化成功后实际用于插件操作的值。有关其他信息,请参见keyring_hashicorp配置.keyring_hashicorp_commit_ca_path介绍了 8.0.18 系统变量 keyring_hashicorp_commit_ca_path范围 全球 动态 没有 SET_VAR提示应用没有 类型 字符串 这个变量与
keyring_hashicorp_ca_path,它在运行期间从中获取其值keyring_hashicorp插件初始化。除非安装了该插件,否则该变量不可用。它反映了”承诺”初始化成功后实际用于插件操作的值。有关其他信息,请参见keyring_hashicorp配置.keyring_hashicorp_commit_caching介绍了 8.0.18 系统变量 keyring_hashicorp_commit_caching范围 全球 动态 没有 SET_VAR提示应用没有 类型 字符串 这个变量与
keyring_hashicorp_caching,它在运行期间从中获取其值keyring_hashicorp插件初始化。除非安装了该插件,否则该变量不可用。它反映了”承诺”初始化成功后实际用于插件操作的值。有关其他信息,请参见keyring_hashicorp配置.keyring_hashicorp_commit_role_id介绍了 8.0.18 系统变量 keyring_hashicorp_commit_role_id范围 全球 动态 没有 SET_VAR提示应用没有 类型 字符串 这个变量与
keyring_hashicorp_role_id,它在运行期间从中获取其值keyring_hashicorp插件初始化。除非安装了该插件,否则该变量不可用。它反映了”承诺”初始化成功后实际用于插件操作的值。有关其他信息,请参见keyring_hashicorp配置.keyring_hashicorp_commit_server_url介绍了 8.0.18 系统变量 keyring_hashicorp_commit_server_url范围 全球 动态 没有 SET_VAR提示应用没有 类型 字符串 这个变量与
keyring_hashicorp_server_url,它在运行期间从中获取其值keyring_hashicorp插件初始化。除非安装了该插件,否则该变量不可用。它反映了”承诺”初始化成功后实际用于插件操作的值。有关其他信息,请参见keyring_hashicorp配置.keyring_hashicorp_commit_store_path介绍了 8.0.18 系统变量 keyring_hashicorp_commit_store_path范围 全球 动态 没有 SET_VAR提示应用没有 类型 字符串 这个变量与
keyring_hashicorp_store_path,它在运行期间从中获取其值keyring_hashicorp插件初始化。除非安装了该插件,否则该变量不可用。它反映了”承诺”初始化成功后实际用于插件操作的值。有关其他信息,请参见keyring_hashicorp配置.-
命令行格式 ——keyring-hashicorp-role-id =值介绍了 8.0.18 系统变量 keyring_hashicorp_role_id范围 全球 动态 是的 SET_VAR提示应用没有 类型 字符串 默认值 空字符串HashiCorp保险库批准身份验证角色ID,供
keyring_hashicorp插件。除非安装了该插件,否则该变量不可用。必须为UUID格式。这个变量是必须的。如果未指定,
keyring_hashicorp初始化失败。 -
命令行格式 ——keyring-hashicorp-secret-id =值介绍了 8.0.18 系统变量 keyring_hashicorp_secret_id范围 全球 动态 是的 SET_VAR提示应用没有 类型 字符串 默认值 空字符串HashiCorp保险库批准身份验证秘密ID,供
keyring_hashicorp插件。除非安装了该插件,否则该变量不可用。必须为UUID格式。这个变量是必须的。如果未指定,
keyring_hashicorp初始化失败。这个变量的值是敏感的,所以它的值被
*显示时的字符。 -
命令行格式 ——keyring-hashicorp-server-url =值介绍了 8.0.18 系统变量 keyring_hashicorp_server_url范围 全球 动态 是的 SET_VAR提示应用没有 类型 字符串 默认值 https://127.0.0.1:8200HashiCorp保险库服务器URL,供
keyring_hashicorp插件。除非安装了该插件,否则该变量不可用。必须以。开头https://. -
命令行格式 ——keyring-hashicorp-store-path =值介绍了 8.0.18 系统变量 keyring_hashicorp_store_path范围 全球 动态 是的 SET_VAR提示应用没有 类型 字符串 默认值 空字符串HashiCorp Vault服务器中的存储路径,当提供适当的apple凭据时,该路径是可写的
keyring_hashicorp插件。除非安装了该插件,否则该变量不可用。要指定凭据,请设置keyring_hashicorp_role_id和keyring_hashicorp_secret_id系统变量(例如,如keyring_hashicorp配置).这个变量是必须的。如果未指定,
keyring_hashicorp初始化失败。 -
命令行格式 ——keyring-oci-ca-certificate = file_name介绍了 8.0.22 系统变量 keyring_oci_ca_certificate范围 全球 动态 没有 SET_VAR提示应用没有 类型 字符串 默认值 空字符串的CA证书包文件的路径名
keyring_oci用于Oracle Cloud Infrastructure证书验证的插件。除非安装了该插件,否则该变量不可用。该文件包含一个或多个用于对等验证的证书。如果没有指定文件,则使用系统上安装的默认CA bundle。如果值为
禁用(区分大小写),keyring_oci不进行证书验证。 -
命令行格式 ——keyring-oci-compartment = ocid介绍了 8.0.22 系统变量 keyring_oci_compartment范围 全球 动态 没有 SET_VAR提示应用没有 类型 字符串 的租户分区的cid
keyring_oci作为MySQL键的位置。除非安装了该插件,否则该变量不可用。使用前
keyring_oci,如果MySQL分区或子分区不存在,则必须创建该分区。此隔间不应包含保险库钥匙或保险库秘密。它不应该被MySQL Keyring以外的系统使用。有关管理分区和获取cid的信息,请参见管理室.
这个变量是必须的。如果未指定,
keyring_oci初始化失败。 keyring_oci_encryption_endpoint命令行格式 ——keyring-oci-encryption-endpoint =值介绍了 8.0.22 系统变量 keyring_oci_encryption_endpoint范围 全球 动态 没有 SET_VAR提示应用没有 类型 字符串 Oracle Cloud Infrastructure加密服务器的端点
keyring_oci插件用于为新密钥生成密文。除非安装了该插件,否则该变量不可用。加密端点是特定于保险库的,Oracle Cloud Infrastructure在创建保险库时分配它。若要获取端点cid,请查看对应设备的配置详细信息
keyring_oci金库,使用指令在金库管理.这个变量是必须的。如果未指定,
keyring_oci初始化失败。-
命令行格式 ——keyring-oci-key-file = file_name介绍了 8.0.22 系统变量 keyring_oci_key_file范围 全球 动态 没有 SET_VAR提示应用没有 类型 字符串 包含RSA私钥的文件的路径名
keyring_oci插件用于Oracle云基础设施认证。除非安装了该插件,否则该变量不可用。您还必须通过Console上传相应的RSA公钥。控制台中会显示密钥指纹值,您可以使用该值设置密钥指纹值
keyring_oci_key_fingerprint系统变量。有关生成和上传API密钥的信息,请参见必需的键和OCIDs.
这个变量是必须的。如果未指定,
keyring_oci初始化失败。 -
命令行格式 ——keyring-oci-key-fingerprint =值介绍了 8.0.22 系统变量 keyring_oci_key_fingerprint范围 全球 动态 没有 SET_VAR提示应用没有 类型 字符串 使用的RSA私钥指纹
keyring_oci插件用于Oracle云基础设施认证。除非安装了该插件,否则该变量不可用。创建API密钥时获取密钥指纹,执行如下命令:
openssl rsa -pubout -outform DER -in ~/.oci/oci_api_key。Pem | openssl md5 -c也可以从控制台获取指纹,上传RSA公钥时,控制台会自动显示指纹。
获取密钥指纹的方法请参见必需的键和OCIDs.
这个变量是必须的。如果未指定,
keyring_oci初始化失败。 keyring_oci_management_endpoint命令行格式 ——keyring-oci-management-endpoint =值介绍了 8.0.22 系统变量 keyring_oci_management_endpoint范围 全球 动态 没有 SET_VAR提示应用没有 类型 字符串 Oracle Cloud Infrastructure密钥管理服务器的端点
keyring_oci插件用于列出现有的键。除非安装了该插件,否则该变量不可用。密钥管理端点是特定于保险库的,Oracle Cloud Infrastructure在创建保险库时分配它。若要获取端点cid,请查看对应设备的配置详细信息
keyring_oci金库,使用指令在金库管理.这个变量是必须的。如果未指定,
keyring_oci初始化失败。-
命令行格式 ——keyring-oci-master-key = ocid介绍了 8.0.22 系统变量 keyring_oci_master_key范围 全球 动态 没有 SET_VAR提示应用没有 类型 字符串 Oracle Cloud Infrastructure主加密密钥的cid
keyring_oci用于秘密加密的插件。除非安装了该插件,否则该变量不可用。使用前
keyring_oci,如果不存在,则必须为Oracle Cloud Infrastructure分区创建加密密钥。为生成的键提供一个特定于mysql的名称,不要将其用于其他目的。有关密钥创建的信息,请参见钥匙管理.
这个变量是必须的。如果未指定,
keyring_oci初始化失败。 -
命令行格式 ——keyring-oci-secrets-endpoint =值介绍了 8.0.22 系统变量 keyring_oci_secrets_endpoint范围 全球 动态 没有 SET_VAR提示应用没有 类型 字符串 Oracle云基础架构机密服务器的端点
keyring_oci插件用于列出、创建和退出秘密。除非安装了该插件,否则该变量不可用。secret端点是特定于保险库的,Oracle Cloud Infrastructure在创建保险库时分配它。若要获取端点cid,请查看对应设备的配置详细信息
keyring_oci金库,使用指令在金库管理.这个变量是必须的。如果未指定,
keyring_oci初始化失败。 -
命令行格式 ——keyring-oci-tenancy = ocid介绍了 8.0.22 系统变量 keyring_oci_tenancy范围 全球 动态 没有 SET_VAR提示应用没有 类型 字符串 Oracle云基础设施租户的cid
keyring_oci作为MySQL分区的位置。除非安装了该插件,否则该变量不可用。使用前
keyring_oci,如果租户不存在,则必须创建该租户。要从控制台中获取租户cid,请使用以下说明必需的键和OCIDs.这个变量是必须的。如果未指定,
keyring_oci初始化失败。 -
命令行格式 ——keyring-oci-user = ocid介绍了 8.0.22 系统变量 keyring_oci_user范围 全球 动态 没有 SET_VAR提示应用没有 类型 字符串 Oracle Cloud Infrastructure用户的cid
keyring_oci用于云连接的插件。除非安装了该插件,否则该变量不可用。使用前
keyring_oci,此用户必须存在,并且被授予使用已配置的Oracle Cloud Infrastructure租户、分区和vault资源的访问权限。要从控制台中获取用户cid,请使用下面的说明必需的键和OCIDs.
这个变量是必须的。如果未指定,
keyring_oci初始化失败。 -
命令行格式 ——keyring-oci-vaults-endpoint =值介绍了 8.0.22 系统变量 keyring_oci_vaults_endpoint范围 全球 动态 没有 SET_VAR提示应用没有 类型 字符串 Oracle云基础设施的端点存储服务器
keyring_oci用于获取秘密值的插件。除非安装了该插件,否则该变量不可用。vault端点是特定于vault的,Oracle Cloud Infrastructure在创建vault时分配它。若要获取端点cid,请查看对应设备的配置详细信息
keyring_oci金库,使用指令在金库管理.这个变量是必须的。如果未指定,
keyring_oci初始化失败。 -
命令行格式 ——keyring-oci-virtual-vault = ocid介绍了 8.0.22 系统变量 keyring_oci_virtual_vault范围 全球 动态 没有 SET_VAR提示应用没有 类型 字符串 Oracle Cloud Infrastructure Vault的cid
keyring_oci用于加密操作的插件。除非安装了该插件,否则该变量不可用。使用前
keyring_oci,如果MySQL分区不存在,则必须在该分区中创建一个新的存储库。(或者,您可以重用位于MySQL分区的父分区中的现有vault。)车厢用户只能看到和使用各自车厢内的钥匙。有关创建保险库和获取保险库cid的信息,请参见金库管理.
这个变量是必须的。如果未指定,
keyring_oci初始化失败。 -
命令行格式 ——keyring-okv-conf-dir = dir_name系统变量 keyring_okv_conf_dir范围 全球 动态 是的 SET_VAR提示应用没有 类型 目录名称 默认值 空字符串配置文件使用的配置信息所在目录的路径名
keyring_okv插件。除非安装了该插件,否则该变量不可用。该位置应该是一个目录,仅供keyring_okv插件。例如,不要将目录定位在data目录下。默认的
keyring_okv_conf_dirValue为空。为keyring_okv为了能够访问Oracle密钥库,必须将该值设置为包含Oracle密钥库配置和SSL材料的目录。有关设置此目录的说明,请参见第6.4.4.8节“使用keyring_okv KMIP插件”.该目录应该具有限制模式,并且只有用于运行MySQL服务器的帐户才能访问。例如,在Unix和类Unix系统上,使用
/usr/local/mysql/mysql-keyring-okv目录下,执行以下命令(以根)创建目录,并设置其模式和归属:CD /usr/local/mysql mkdir mysql-keyring-okv chmod 750 mysql-keyring-okv chmod 750 mysql-keyring-okv chmod 750如果赋值给
keyring_okv_conf_dir指定一个不存在的目录,或者不包含能够建立到Oracle密钥库连接的配置信息的目录。keyring_okv将错误消息写入错误日志。如果尝试将运行时赋值给keyring_okv_conf_dir导致错误,变量值和密匙环操作保持不变。 -
系统变量 keyring_operations范围 全球 动态 是的 SET_VAR提示应用没有 类型 布尔 默认值 在是否启用keyring操作。此变量在键迁移操作期间使用。看到第6.4.4.13节,“在密匙环密钥库之间迁移密钥”.修改此变量所需的权限如下
ENCRYPTION_KEY_ADMIN除了两者之外SYSTEM_VARIABLES_ADMIN或者被弃用的超级特权。