MySQL 9.0 发行说明
MySQL 密钥环插件支持以下系统变量。 使用它们配置密钥环插件操作。 除非安装了相应的密钥环插件(参见 第 8.4.4.3 节,“密钥环插件安装”),否则这些变量不可用。
-
命令行格式 --keyring-aws-cmk-id=value系统变量 keyring_aws_cmk_id范围 全局 动态 是 SET_VAR提示适用否 类型 字符串 从 AWS KMS 服务器获取的 KMS 密钥 ID,由
keyring_aws插件使用。 除非安装了该插件,否则此变量不可用。此变量是必需的。 如果未指定,
keyring_aws初始化失败。 -
命令行格式 --keyring-aws-conf-file=file_name系统变量 keyring_aws_conf_file范围 全局 动态 否 SET_VAR提示适用否 类型 文件名 默认值 平台特定keyring_aws插件的配置文件位置。 除非安装了该插件,否则此变量不可用。在插件启动时,
keyring_aws会从配置文件中读取 AWS 密钥访问密钥 ID 和密钥。 为了使keyring_aws插件成功启动,配置文件必须存在并包含有效的密钥访问密钥信息,如 第 8.4.4.7 节,“使用 keyring_aws Amazon Web Services 密钥环插件” 中所述初始化。默认文件名是
keyring_aws_conf,位于默认的密钥环文件目录中。 -
命令行格式 --keyring-aws-data-file系统变量 keyring_aws_data_file范围 全局 动态 否 SET_VAR提示适用否 类型 文件名 默认值 平台特定keyring_aws插件的存储文件位置。 除非安装了该插件,否则此变量不可用。在插件启动时,如果分配给
keyring_aws_data_file的值指定了一个不存在的文件,则keyring_aws插件会尝试创建该文件(如果需要,还会创建其父目录)。 如果文件已存在,keyring_aws会将文件中包含的任何加密密钥读入其内存缓存。keyring_aws不会在内存中缓存未加密的密钥。默认文件名是
keyring_aws_data,位于默认的密钥环文件目录中。 -
命令行格式 --keyring-aws-region=value系统变量 keyring_aws_region范围 全局 动态 是 SET_VAR提示适用否 类型 枚举 默认值 us-east-1有效值 af-south-1ap-east-1ap-northeast-1ap-northeast-2ap-northeast-3ap-south-1ap-southeast-1ap-southeast-2ca-central-1cn-north-1cn-northwest-1eu-central-1eu-north-1eu-south-1eu-west-1eu-west-2eu-west-3me-south-1sa-east-1us-east-1us-east-2us-gov-east-1us-iso-east-1us-iso-west-1us-isob-east-1us-west-1us-west-2keyring_aws插件的 AWS 区域。 除非安装了该插件,否则此变量不可用。 -
命令行格式 --keyring-hashicorp-auth-path=value系统变量 keyring_hashicorp_auth_path范围 全局 动态 是 SET_VAR提示适用否 类型 字符串 默认值 /v1/auth/approle/login在 HashiCorp Vault 服务器中启用 AppRole 身份验证的认证路径,供
keyring_hashicorp插件使用。 除非安装了该插件,否则此变量不可用。 -
命令行格式 --keyring-hashicorp-ca-path=file_name系统变量 keyring_hashicorp_ca_path范围 全局 动态 是 SET_VAR提示适用否 类型 文件名 默认值 空字符串MySQL 服务器可访问的本地文件绝对路径名,该文件包含
keyring_hashicorp插件使用的格式正确的 TLS 证书颁发机构。 除非安装了该插件,否则此变量不可用。如果未设置此变量,
keyring_hashicorp插件将打开一个 HTTPS 连接,而无需使用服务器证书验证,并信任 HashiCorp Vault 服务器提供的任何证书。 为确保安全,必须假设 Vault 服务器不是恶意的,并且不可能进行中间人攻击。 如果这些假设无效,请将keyring_hashicorp_ca_path设置为受信任的 CA 证书的路径。 (例如,对于 证书和密钥准备 中的说明,这是company.crt文件。) -
命令行格式 --keyring-hashicorp-caching[={OFF|ON}]系统变量 keyring_hashicorp_caching范围 全局 动态 是 SET_VAR提示适用否 类型 布尔值 默认值 OFF是否启用
keyring_hashicorp插件使用的可选内存中密钥缓存,以缓存来自 HashiCorp Vault 服务器的密钥。 除非安装了该插件,否则此变量不可用。 如果启用了缓存,插件将在初始化期间填充缓存。 否则,插件仅在初始化期间填充密钥列表。启用缓存是一种折衷方案:它可以提高性能,但在内存中维护敏感密钥信息的副本,这在安全方面可能不可取。
keyring_hashicorp_commit_auth_path系统变量 keyring_hashicorp_commit_auth_path范围 全局 动态 否 SET_VAR提示适用否 类型 字符串 此变量与
keyring_hashicorp_auth_path相关联,它在keyring_hashicorp插件初始化期间获取其值。 除非安装了该插件,否则此变量不可用。 它反映了如果初始化成功,插件操作实际使用的 “已提交” 值。 有关更多信息,请参阅 keyring_hashicorp 配置。keyring_hashicorp_commit_ca_path系统变量 keyring_hashicorp_commit_ca_path范围 全局 动态 否 SET_VAR提示适用否 类型 字符串 此变量与
keyring_hashicorp_ca_path相关联,它在keyring_hashicorp插件初始化期间获取其值。 除非安装了该插件,否则此变量不可用。 它反映了如果初始化成功,插件操作实际使用的 “已提交” 值。 有关更多信息,请参阅 keyring_hashicorp 配置。keyring_hashicorp_commit_caching系统变量 keyring_hashicorp_commit_caching范围 全局 动态 否 SET_VAR提示适用否 类型 字符串 此变量与
keyring_hashicorp_caching相关联,它在keyring_hashicorp插件初始化期间获取其值。 除非安装了该插件,否则此变量不可用。 它反映了如果初始化成功,插件操作实际使用的 “已提交” 值。 有关更多信息,请参阅 keyring_hashicorp 配置。keyring_hashicorp_commit_role_id系统变量 keyring_hashicorp_commit_role_id范围 全局 动态 否 SET_VAR提示适用否 类型 字符串 此变量与
keyring_hashicorp_role_id相关联,它在keyring_hashicorp插件初始化期间获取其值。 除非安装了该插件,否则此变量不可用。 它反映了如果初始化成功,插件操作实际使用的 “已提交” 值。 有关更多信息,请参阅 keyring_hashicorp 配置。keyring_hashicorp_commit_server_url系统变量 keyring_hashicorp_commit_server_url范围 全局 动态 否 SET_VAR提示适用否 类型 字符串 此变量与
keyring_hashicorp_server_url相关联,它在keyring_hashicorp插件初始化期间获取其值。 除非安装了该插件,否则此变量不可用。 它反映了如果初始化成功,插件操作实际使用的 “已提交” 值。 有关更多信息,请参阅 keyring_hashicorp 配置。keyring_hashicorp_commit_store_path系统变量 keyring_hashicorp_commit_store_path范围 全局 动态 否 SET_VAR提示适用否 类型 字符串 此变量与
keyring_hashicorp_store_path相关联,它在keyring_hashicorp插件初始化期间获取其值。 除非安装了该插件,否则此变量不可用。 它反映了如果初始化成功,插件操作实际使用的 “已提交” 值。 有关更多信息,请参阅 keyring_hashicorp 配置。-
命令行格式 --keyring-hashicorp-role-id=value系统变量 keyring_hashicorp_role_id范围 全局 动态 是 SET_VAR提示适用否 类型 字符串 默认值 空字符串HashiCorp Vault AppRole 身份验证角色 ID,供
keyring_hashicorp插件使用。 除非安装了该插件,否则此变量不可用。 该值必须采用 UUID 格式。此变量是必需的。 如果未指定,
keyring_hashicorp初始化将失败。 -
命令行格式 --keyring-hashicorp-secret-id=value系统变量 keyring_hashicorp_secret_id范围 全局 动态 是 SET_VAR提示适用否 类型 字符串 默认值 空字符串HashiCorp Vault AppRole 身份验证密钥 ID,供
keyring_hashicorp插件使用。 除非安装了该插件,否则此变量不可用。 该值必须采用 UUID 格式。此变量是必需的。 如果未指定,
keyring_hashicorp初始化将失败。此变量的值很敏感,因此在显示时其值会用
*字符掩盖。 -
命令行格式 --keyring-hashicorp-server-url=value系统变量 keyring_hashicorp_server_url范围 全局 动态 是 SET_VAR提示适用否 类型 字符串 默认值 https://127.0.0.1:8200HashiCorp Vault 服务器 URL,供
keyring_hashicorp插件使用。 除非安装了该插件,否则此变量不可用。 该值必须以https://开头。 -
命令行格式 --keyring-hashicorp-store-path=value系统变量 keyring_hashicorp_store_path范围 全局 动态 是 SET_VAR提示适用否 类型 字符串 默认值 空字符串HashiCorp Vault 服务器中的存储路径,在
keyring_hashicorp插件提供适当的 AppRole 凭据时可写。 除非安装了该插件,否则此变量不可用。 要指定凭据,请设置keyring_hashicorp_role_id和keyring_hashicorp_secret_id系统变量(例如,如 keyring_hashicorp 配置 中所示)。此变量是必需的。 如果未指定,
keyring_hashicorp初始化将失败。 -
命令行格式 --keyring-okv-conf-dir=dir_name系统变量 keyring_okv_conf_dir范围 全局 动态 是 SET_VAR提示适用否 类型 目录名 默认值 空字符串存储
keyring_okv插件使用的配置信息的目录路径名。 除非安装了该插件,否则此变量不可用。 该位置应为仅供keyring_okv插件使用的目录。 例如,不要将目录放在数据目录下。默认的
keyring_okv_conf_dir值为空。 为了使keyring_okv插件能够访问 Oracle Key Vault,该值必须设置为包含 Oracle Key Vault 配置和 SSL 材料的目录。 有关设置此目录的说明,请参阅 第 8.4.4.6 节,“使用 keyring_okv KMIP 插件”。该目录应具有限制性模式,并且只能由用于运行 MySQL 服务器的帐户访问。 例如,在 Unix 和类 Unix 系统上,要使用
/usr/local/mysql/mysql-keyring-okv目录,以下命令(以root身份执行)将创建目录并设置其模式和所有权cd /usr/local/mysql mkdir mysql-keyring-okv chmod 750 mysql-keyring-okv chown mysql mysql-keyring-okv chgrp mysql mysql-keyring-okv如果分配给
keyring_okv_conf_dir的值指定了一个不存在的目录,或者不包含能够建立与 Oracle Key Vault 连接的配置信息的目录,keyring_okv会将错误消息写入错误日志。 如果对keyring_okv_conf_dir的运行时赋值尝试导致错误,则变量值和密钥环操作将保持不变。 -
系统变量 keyring_operations范围 全局 动态 是 SET_VAR提示适用否 类型 布尔值 默认值 ON是否启用密钥环操作。 此变量在密钥迁移操作期间使用。 请参阅 第 8.4.4.11 节,“在密钥环密钥库之间迁移密钥”。 修改此变量所需的权限是
ENCRYPTION_KEY_ADMIN以及SYSTEM_VARIABLES_ADMIN或已弃用的SUPER权限。