MySQL 9.0 发行说明
注意
component_keyring_encrypted_file 是 MySQL 企业版(商业产品)中包含的一个扩展。要了解更多关于商业产品的信息,请参见 https://www.mysqlserver.cn/products/.
component_keyring_encrypted_file 密钥环组件将密钥环数据存储在服务器主机上的一个加密的、受密码保护的文件中。
警告
对于加密密钥管理,component_keyring_file 和 component_keyring_encrypted_file 组件并非旨在作为监管合规解决方案。PCI、FIPS 等安全标准要求使用密钥管理系统来保护、管理和保护加密密钥,这些密钥存储在密钥库或硬件安全模块 (HSM) 中。
要使用 component_keyring_encrypted_file 进行密钥库管理,您必须
编写一个清单,告诉服务器加载
component_keyring_encrypted_file,如 第 8.4.4.2 节,“密钥环组件安装” 中所述。为
component_keyring_encrypted_file编写一个配置文件,如本文所述。
在初始化时,component_keyring_encrypted_file 读取全局配置文件,或读取全局配置文件和本地配置文件配对。
该组件尝试从组件库文件安装的目录(即服务器插件目录)读取其全局配置文件。
如果全局配置文件指示使用本地配置文件,该组件尝试从数据目录读取其本地配置文件。
尽管全局配置文件和本地配置文件位于不同的目录中,但这两个位置的文件名均为
component_keyring_encrypted_file.cnf。如果不存在预配置文件,则会发生错误。没有有效的配置,
component_keyring_encrypted_file无法初始化。
本地配置文件允许设置多个服务器实例来使用 component_keyring_encrypted_file,使得每个服务器实例的组件配置特定于给定的数据目录实例。这使得相同的密钥环组件可以与每个实例的单独数据文件一起使用。
component_keyring_encrypted_file 配置文件具有以下属性
配置文件必须采用有效的 JSON 格式。
配置文件允许以下配置项
"read_local_config":此项仅允许在全局配置文件中使用。如果此项不存在,该组件仅使用全局配置文件。如果此项存在,其值为true或false,指示该组件是否应从本地配置文件读取配置信息。如果
"read_local_config"项存在于全局配置文件中,并带有其他项,该组件会首先检查"read_local_config"项的值。如果值为
false,该组件会处理全局配置文件中的其他项,并忽略本地配置文件。如果值为
true,该组件会忽略全局配置文件中的其他项,并尝试读取本地配置文件。
"path":项值为一个字符串,指定用于存储密钥环数据的文件。应使用绝对路径,而不是相对路径来命名文件。此项在配置中是强制性的。如果未指定,component_keyring_encrypted_file初始化会失败。"password":项值为一个字符串,指定用于访问数据文件的密码。此项在配置中是强制性的。如果未指定,component_keyring_encrypted_file初始化会失败。"read_only": 该项的值指示密钥环数据文件是否为只读。项的值为true(只读)或false(读写)。此项在配置中是必需的。如果未指定,则component_keyring_encrypted_file初始化将失败。
数据库管理员负责创建要使用的任何配置文件,并确保其内容正确。如果发生错误,服务器启动将失败,管理员必须纠正服务器错误日志中诊断指示的任何问题。
任何存储密码的配置文件都应该具有限制性模式,并且只能由用于运行 MySQL 服务器的帐户访问。
鉴于前面的配置文件属性,要配置 component_keyring_encrypted_file,请在安装 component_keyring_encrypted_file 库文件所在的目录中创建一个名为 component_keyring_encrypted_file.cnf 的全局配置文件,并可选地在数据目录中创建一个名为 component_keyring_encrypted_file.cnf 的本地配置文件。以下说明假设要使用名为 /usr/local/mysql/keyring/component_keyring_encrypted_file 的密钥环数据文件以读写方式进行操作。您还必须选择一个密码。
要仅使用全局配置文件,文件内容如下所示
{ "path": "/usr/local/mysql/keyring/component_keyring_encrypted_file", "password": "password", "read_only": false }在安装
component_keyring_encrypted_file库文件所在的目录中创建此文件。或者,要使用全局和本地配置文件对,全局文件如下所示
{ "read_local_config": true }在安装
component_keyring_encrypted_file库文件所在的目录中创建此文件。本地文件如下所示
{ "path": "/usr/local/mysql/keyring/component_keyring_encrypted_file", "password": "password", "read_only": false }在数据目录中创建此文件。
密钥环操作是事务性的:component_keyring_encrypted_file 在写入操作期间使用备份文件,以确保在操作失败时可以回滚到原始文件。备份文件与数据文件同名,后缀为 .backup。
component_keyring_encrypted_file 支持构成标准 MySQL 密钥环服务接口的函数。这些函数执行的密钥环操作在 SQL 语句中可用,如 第 8.4.4.12 节,“通用密钥环密钥管理函数” 中所述。
示例
SELECT keyring_key_generate('MyKey', 'AES', 32);
SELECT keyring_key_remove('MyKey');有关 component_keyring_encrypted_file 允许的键值的特征信息,请参见 第 8.4.4.10 节,“支持的密钥环密钥类型和长度”。