要安装 keyring_aws，请使用 第 8.4.4.3 节，“密钥环插件安装” 中找到的一般说明，以及此处找到的特定于插件的配置信息。

插件库文件包含 keyring_aws 插件和两个可加载函数，keyring_aws_rotate_cmk() 和 keyring_aws_rotate_keys().

要配置 keyring_aws，您必须获取一个秘密访问密钥，该密钥提供与 AWS KMS 通信的凭据，并将其写入配置文件

为了在服务器启动过程中可用，keyring_aws 必须使用 --early-plugin-load 选项加载。 keyring_aws_cmk_id 系统变量是必需的，用于配置从 AWS KMS 服务器获取的 KMS 密钥 ID。 keyring_aws_conf_file 和 keyring_aws_data_file 系统变量可选地配置 keyring_aws 插件用于配置信息和数据存储的文件位置。 文件位置变量的默认值是特定于平台的。 要明确配置位置，请在启动时设置变量值。 例如，在服务器 my.cnf 文件中使用以下行，根据需要调整 .so 后缀和文件位置

[mysqld]
early-plugin-load=keyring_aws.so
keyring_aws_cmk_id='arn:aws:kms:us-west-2:111122223333:key/abcd1234-ef56-ab12-cd34-ef56abcd1234'
keyring_aws_conf_file=/usr/local/mysql/mysql-keyring/keyring_aws_conf
keyring_aws_data_file=/usr/local/mysql/mysql-keyring/keyring_aws_data

为了使 keyring_aws 插件成功启动，配置文件必须存在且包含有效的秘密访问密钥信息，并如前所述初始化。 存储文件不必存在。 如果不存在，keyring_aws 尝试创建它（以及它的父目录，如果需要）。

有关用于配置 keyring_aws 插件的系统变量的更多信息，请参见 第 8.4.4.16 节，“Keyring 系统变量”。

启动 MySQL 服务器并安装与 keyring_aws 插件相关的函数。 这是一个一次性操作，通过执行以下语句完成，根据需要调整 .so 后缀

CREATE FUNCTION keyring_aws_rotate_cmk RETURNS INTEGER
  SONAME 'keyring_aws.so';
CREATE FUNCTION keyring_aws_rotate_keys RETURNS INTEGER
  SONAME 'keyring_aws.so';

有关 keyring_aws 函数的更多信息，请参见 第 8.4.4.13 节，“特定于插件的 Keyring 密钥管理函数”。

在插件启动时，keyring_aws 插件从其配置文件中读取 AWS 秘密访问密钥 ID 和密钥。 它还将存储文件中的任何加密密钥读入其内存缓存。

在操作期间，keyring_aws 在内存缓存中维护加密密钥，并将存储文件用作本地持久存储。 每个 keyring 操作都是事务性的：keyring_aws 要么成功更改内存密钥缓存和 keyring 存储文件，要么操作失败，keyring 状态保持不变。

为了确保仅在存在正确的 keyring 存储文件时才刷新密钥，keyring_aws 在文件中存储 keyring 的 SHA-256 校验和。 在更新文件之前，插件会验证它是否包含预期的校验和。

keyring_aws 插件支持构成标准 MySQL Keyring 服务接口的函数。 这些函数执行的 Keyring 操作可以在两个级别访问

示例（使用 SQL 接口）

SELECT keyring_key_generate('MyKey', 'AES', 32);
SELECT keyring_key_remove('MyKey');

此外，keyring_aws_rotate_cmk() 和 keyring_aws_rotate_keys() 函数 “扩展” keyring 插件接口以提供标准 keyring 服务接口未涵盖的 AWS 相关功能。 这些功能只能通过使用 SQL 调用这些函数来访问。 没有相应的 C 语言密钥服务函数。

有关 keyring_aws 允许的密钥值的特征的信息，请参见 第 8.4.4.10 节，“支持的 Keyring 密钥类型和长度”。

假设 keyring_aws 插件已在服务器启动时正确初始化，则可以更改用于与 AWS KMS 通信的凭据