MySQL 8.4 发行说明
MySQL 密钥环插件支持以下系统变量。使用它们来配置密钥环插件操作。除非安装了相应的密钥环插件,否则这些变量不可用(请参阅 第 8.4.4.3 节,“密钥环插件安装”)。
-
命令行格式 --keyring-aws-cmk-id=value系统变量 keyring_aws_cmk_id作用域 全局 动态 是 SET_VAR提示适用否 类型 字符串 从 AWS KMS 服务器获取并由
keyring_aws插件使用的 KMS 密钥 ID。除非安装了该插件,否则此变量不可用。此变量是必需的。如果未指定,则
keyring_aws初始化失败。 -
命令行格式 --keyring-aws-conf-file=文件名系统变量 keyring_aws_conf_file作用域 全局 动态 否 SET_VAR提示适用否 类型 文件名 默认值 平台特定keyring_aws插件的配置文件位置。除非安装了该插件,否则此变量不可用。在插件启动时,
keyring_aws从配置文件中读取 AWS 秘密访问密钥 ID 和密钥。为了使keyring_aws插件成功启动,配置文件必须存在并包含有效的秘密访问密钥信息,如 第 8.4.4.7 节,“使用 keyring_aws Amazon Web Services 密钥环插件” 中所述进行初始化。默认文件名是
keyring_aws_conf,位于默认的密钥环文件目录中。 -
命令行格式 --keyring-aws-data-file系统变量 keyring_aws_data_file作用域 全局 动态 否 SET_VAR提示适用否 类型 文件名 默认值 平台特定keyring_aws插件的存储文件位置。除非安装了该插件,否则此变量不可用。在插件启动时,如果分配给
keyring_aws_data_file的值指定了一个不存在的文件,则keyring_aws插件会尝试创建它(以及它的父目录,如果需要)。如果该文件确实存在,则keyring_aws会将文件中包含的任何加密密钥读入其内存缓存。keyring_aws不会在内存中缓存未加密的密钥。默认文件名是
keyring_aws_data,位于默认的密钥环文件目录中。 -
命令行格式 --keyring-aws-region=value系统变量 keyring_aws_region作用域 全局 动态 是 SET_VAR提示适用否 类型 枚举 默认值 us-east-1有效值 af-south-1ap-east-1ap-northeast-1ap-northeast-2ap-northeast-3ap-south-1ap-southeast-1ap-southeast-2ca-central-1cn-north-1cn-northwest-1eu-central-1eu-north-1eu-south-1eu-west-1eu-west-2eu-west-3me-south-1sa-east-1us-east-1us-east-2us-gov-east-1us-iso-east-1us-iso-west-1us-isob-east-1us-west-1us-west-2keyring_aws插件的 AWS 区域。除非安装了该插件,否则此变量不可用。 -
命令行格式 --keyring-hashicorp-auth-path=value系统变量 keyring_hashicorp_auth_path作用域 全局 动态 是 SET_VAR提示适用否 类型 字符串 默认值 /v1/auth/approle/loginkeyring_hashicorp插件在 HashiCorp Vault 服务器中启用 AppRole 身份验证的身份验证路径。除非安装了该插件,否则此变量不可用。 -
命令行格式 --keyring-hashicorp-ca-path=file_name系统变量 keyring_hashicorp_ca_path作用域 全局 动态 是 SET_VAR提示适用否 类型 文件名 默认值 空字符串MySQL 服务器可访问的本地文件的绝对路径名,该文件包含供
keyring_hashicorp插件使用的格式正确的 TLS 证书颁发机构。除非安装了该插件,否则此变量不可用。如果未设置此变量,则
keyring_hashicorp插件将在不使用服务器证书验证的情况下打开 HTTPS 连接,并信任 HashiCorp Vault 服务器提供的任何证书。为了确保安全,必须假设 Vault 服务器不是恶意的,并且不可能进行中间人攻击。如果这些假设无效,请将keyring_hashicorp_ca_path设置为受信任的 CA 证书的路径。(例如,对于 证书和密钥准备 中的说明,这是company.crt文件。) -
命令行格式 --keyring-hashicorp-caching[={OFF|ON}]系统变量 keyring_hashicorp_caching作用域 全局 动态 是 SET_VAR提示适用否 类型 布尔值 默认值 OFF是否启用
keyring_hashicorp插件使用的可选内存密钥缓存来缓存 HashiCorp Vault 服务器中的密钥。除非安装了该插件,否则此变量不可用。如果启用了缓存,则插件会在初始化期间填充它。否则,插件仅在初始化期间填充密钥列表。启用缓存是一种折衷方案:它可以提高性能,但会在内存中保留敏感密钥信息的副本,这出于安全目的可能并不可取。
keyring_hashicorp_commit_auth_path系统变量 keyring_hashicorp_commit_auth_path作用域 全局 动态 否 SET_VAR提示适用否 类型 字符串 此变量与
keyring_hashicorp_auth_path相关联,在keyring_hashicorp插件初始化期间,它将从此变量获取其值。除非安装了该插件,否则此变量不可用。如果初始化成功,它将反映插件操作实际使用的“已提交”值。有关其他信息,请参阅 keyring_hashicorp 配置。keyring_hashicorp_commit_ca_path系统变量 keyring_hashicorp_commit_ca_path作用域 全局 动态 否 SET_VAR提示适用否 类型 字符串 此变量与
keyring_hashicorp_ca_path相关联,在keyring_hashicorp插件初始化期间,它将从此变量获取其值。除非安装了该插件,否则此变量不可用。如果初始化成功,它将反映插件操作实际使用的“已提交”值。有关其他信息,请参阅 keyring_hashicorp 配置。keyring_hashicorp_commit_caching系统变量 keyring_hashicorp_commit_caching作用域 全局 动态 否 SET_VAR提示适用否 类型 字符串 此变量与
keyring_hashicorp_caching相关联,在keyring_hashicorp插件初始化期间,它将从此变量获取其值。除非安装了该插件,否则此变量不可用。如果初始化成功,它将反映插件操作实际使用的“已提交”值。有关其他信息,请参阅 keyring_hashicorp 配置。keyring_hashicorp_commit_role_id系统变量 keyring_hashicorp_commit_role_id作用域 全局 动态 否 SET_VAR提示适用否 类型 字符串 此变量与
keyring_hashicorp_role_id相关联,在keyring_hashicorp插件初始化期间,它将从此变量获取其值。除非安装了该插件,否则此变量不可用。如果初始化成功,它将反映插件操作实际使用的“已提交”值。有关其他信息,请参阅 keyring_hashicorp 配置。keyring_hashicorp_commit_server_url系统变量 keyring_hashicorp_commit_server_url作用域 全局 动态 否 SET_VAR提示适用否 类型 字符串 此变量与
keyring_hashicorp_server_url相关联,在keyring_hashicorp插件初始化期间,它将从此变量获取其值。除非安装了该插件,否则此变量不可用。如果初始化成功,它将反映插件操作实际使用的“已提交”值。有关其他信息,请参阅 keyring_hashicorp 配置。keyring_hashicorp_commit_store_path系统变量 keyring_hashicorp_commit_store_path作用域 全局 动态 否 SET_VAR提示适用否 类型 字符串 此变量与
keyring_hashicorp_store_path相关联,在keyring_hashicorp插件初始化期间,它将从此变量获取其值。除非安装了该插件,否则此变量不可用。如果初始化成功,它将反映插件操作实际使用的“已提交”值。有关其他信息,请参阅 keyring_hashicorp 配置。-
命令行格式 --keyring-hashicorp-role-id=value系统变量 keyring_hashicorp_role_id作用域 全局 动态 是 SET_VAR提示适用否 类型 字符串 默认值 空字符串HashiCorp Vault AppRole 身份验证角色 ID,供
keyring_hashicorp插件使用。除非安装了该插件,否则此变量不可用。该值必须采用 UUID 格式。此变量是必需的。如果未指定,则
keyring_hashicorp初始化将失败。 -
命令行格式 --keyring-hashicorp-secret-id=value系统变量 keyring_hashicorp_secret_id作用域 全局 动态 是 SET_VAR提示适用否 类型 字符串 默认值 空字符串HashiCorp Vault AppRole 身份验证密钥 ID,供
keyring_hashicorp插件使用。除非安装了该插件,否则此变量不可用。该值必须采用 UUID 格式。此变量是必需的。如果未指定,则
keyring_hashicorp初始化将失败。此变量的值很敏感,因此显示时其值会被
*字符屏蔽。 -
命令行格式 --keyring-hashicorp-server-url=value系统变量 keyring_hashicorp_server_url作用域 全局 动态 是 SET_VAR提示适用否 类型 字符串 默认值 https://127.0.0.1:8200HashiCorp Vault 服务器 URL,供
keyring_hashicorp插件使用。除非安装了该插件,否则此变量不可用。该值必须以https://开头。 -
命令行格式 --keyring-hashicorp-store-path=value系统变量 keyring_hashicorp_store_path作用域 全局 动态 是 SET_VAR提示适用否 类型 字符串 默认值 空字符串HashiCorp Vault 服务器中的存储路径,当
keyring_hashicorp插件提供适当的 AppRole 凭据时,该路径是可写的。除非安装了该插件,否则此变量不可用。要指定凭据,请设置keyring_hashicorp_role_id和keyring_hashicorp_secret_id系统变量(例如,如 keyring_hashicorp 配置 中所示)。此变量是必需的。如果未指定,则
keyring_hashicorp初始化将失败。 -
命令行格式 --keyring-okv-conf-dir=dir_name系统变量 keyring_okv_conf_dir作用域 全局 动态 是 SET_VAR提示适用否 类型 目录名 默认值 空字符串keyring_okv插件使用的配置信息的目录的路径名。除非安装了该插件,否则此变量不可用。该位置应该是仅供keyring_okv插件使用的目录。例如,不要将目录放在数据目录下。默认的
keyring_okv_conf_dir值为空。为了使keyring_okv插件能够访问 Oracle Key Vault,必须将该值设置为包含 Oracle Key Vault 配置和 SSL 材料的目录。有关设置此目录的说明,请参阅 第 8.4.4.6 节“使用 keyring_okv KMIP 插件”。该目录应具有限制性模式,并且只能由用于运行 MySQL 服务器的帐户访问。例如,在 Unix 和类 Unix 系统上,要使用
/usr/local/mysql/mysql-keyring-okv目录,以下命令(以root身份执行)将创建该目录并设置其模式和所有权cd /usr/local/mysql mkdir mysql-keyring-okv chmod 750 mysql-keyring-okv chown mysql mysql-keyring-okv chgrp mysql mysql-keyring-okv如果分配给
keyring_okv_conf_dir的值指定的目录不存在,或者该目录不包含能够建立与 Oracle Key Vault 的连接的配置信息,则keyring_okv会将一条错误消息写入错误日志。如果尝试对keyring_okv_conf_dir进行运行时分配导致错误,则变量值和密钥环操作将保持不变。 -
系统变量 keyring_operations作用域 全局 动态 是 SET_VAR提示适用否 类型 布尔值 默认值 ON是否启用了密钥环操作。此变量在密钥迁移操作期间使用。请参阅 第 8.4.4.11 节“在密钥环密钥库之间迁移密钥”。修改此变量所需的权限是
ENCRYPTION_KEY_ADMIN以及SYSTEM_VARIABLES_ADMIN或已弃用的SUPER权限。