要安装keyring_aws，请使用 第 6.4.4.1 节“Keyring 插件安装”中的一般说明，以及此处找到的特定于插件的配置信息。

插件库文件包含 keyring_aws插件和两个可加载函数， keyring_aws_rotate_cmk()以及 keyring_aws_rotate_keys().

要配置keyring_aws，您必须获取一个秘密访问密钥，该密钥提供用于与 AWS KMS 通信的凭证并将其写入配置文件：

要在服务器启动过程中可用， keyring_aws必须使用该 --early-plugin-load选项加载。系统变量是必需的 keyring_aws_cmk_id，用于配置从 AWS KMS 服务器获取的客户主密钥 (CMK) ID。和 系统变量可选地配置插件用于配置信息和数据存储keyring_aws_conf_file的 文件的位置。文件位置变量默认值是特定于平台的。要明确配置位置，请在启动时设置变量值。例如，在服务器 文件中使用这些行，调整 keyring_aws_data_filekeyring_awsmy.cnf.so根据需要为您的平台添加后缀和文件位置：

[mysqld]
early-plugin-load=keyring_aws.so
keyring_aws_cmk_id='arn:aws:kms:us-west-2:111122223333:key/abcd1234-ef56-ab12-cd34-ef56abcd1234'
keyring_aws_conf_file=/usr/local/mysql/mysql-keyring/keyring_aws_conf
keyring_aws_data_file=/usr/local/mysql/mysql-keyring/keyring_aws_data

为了使keyring_aws插件成功启动，配置文件必须存在并包含有效的秘密访问密钥信息，如前所述进行初始化。存储文件不需要存在。如果没有，则 keyring_aws尝试创建它（如有必要，还包括其父目录）。

有关用于配置keyring_aws插件的系统变量的其他信息，请参阅 第 6.4.4.12 节，“密钥环系统变量”。

启动MySQL服务器并安装与keyring_aws插件相关的功能。这是一次性操作，通过执行以下语句来执行，并.so根据需要调整平台的后缀：

CREATE FUNCTION keyring_aws_rotate_cmk RETURNS INTEGER
  SONAME 'keyring_aws.so';
CREATE FUNCTION keyring_aws_rotate_keys RETURNS INTEGER
  SONAME 'keyring_aws.so';

有关 keyring_aws功能的其他信息，请参阅 第 6.4.4.9 节，“插件特定的密钥环密钥管理功能”。

在插件启动时，keyring_aws插件从其配置文件中读取 AWS 秘密访问密钥 ID 和密钥。它还将其存储文件中包含的任何加密密钥读入其内存缓存中。

在操作期间，keyring_aws在内存缓存中维护加密密钥，并将存储文件用作本地持久存储。每个密钥环操作都是事务性的：keyring_aws要么成功更改内存中的密钥缓存和密钥环存储文件，要么操作失败并且密钥环状态保持不变。

为确保仅当存在正确的密钥环存储文件时才刷新密钥，keyring_aws请在文件中存储密钥环的 SHA-256 校验和。在更新文件之前，插件会验证它是否包含预期的校验和。

该keyring_aws插件支持构成标准 MySQL Keyring 服务接口的功能。可以在两个级别访问由这些函数执行的密钥环操作：

示例（使用 SQL 接口）：

SELECT keyring_key_generate('MyKey', 'AES', 32);
SELECT keyring_key_remove('MyKey');

此外， keyring_aws_rotate_cmk()和 keyring_aws_rotate_keys() 函数“扩展”了密钥环插件接口，以提供标准密钥环服务接口未涵盖的与 AWS 相关的功能。这些功能只能通过使用 SQL 调用这些函数来访问。没有对应的C语言关键服务函数。

有关 允许的密钥值的特征的信息keyring_aws，请参阅 第 6.4.4.6 节，“支持的密钥环密钥类型和长度”。

假设keyring_aws插件在服务器启动时正确初始化，可以更改用于与 AWS KMS 通信的凭证：