MySQL Keyring 插件支持以下系统变量。使用它们来配置密钥环插件操作。这些变量不可用,除非安装了适当的密钥环插件(请参阅第 6.4.4.1 节,“密钥环插件安装”)。
-
命令行格式 --keyring-aws-cmk-id=value
介绍 5.7.19 系统变量 keyring_aws_cmk_id
范围 全球的 动态的 是的 类型 细绳 从 AWS KMS 服务器获取并由
keyring_aws
插件使用的客户主密钥 (CMK) ID。除非安装了该插件,否则此变量不可用。这个变量是强制性的。如果未指定,则
keyring_aws
初始化失败。 -
命令行格式 --keyring-aws-conf-file=file_name
介绍 5.7.19 系统变量 keyring_aws_conf_file
范围 全球的 动态的 不 类型 文件名 默认值 platform specific
keyring_aws
插件 配置文件的位置 。除非安装了该插件,否则此变量不可用。在插件启动时,
keyring_aws
从配置文件中读取 AWS 秘密访问密钥 ID 和密钥。为了使keyring_aws
插件成功启动,配置文件必须存在并包含有效的秘密访问密钥信息,如第 6.4.4.5 节“使用 keyring_aws Amazon Web 服务密钥环插件”中所述进行初始化。默认文件名为
keyring_aws_conf
,位于默认密钥环文件目录中。keyring_file_data
此默认目录的位置与系统变量的位置相同 。有关详细信息以及手动创建目录时要考虑的注意事项,请参阅该变量的描述。 -
命令行格式 --keyring-aws-data-file
介绍 5.7.19 系统变量 keyring_aws_data_file
范围 全球的 动态的 不 类型 文件名 默认值 platform specific
keyring_aws
插件 存储文件的位置 。除非安装了该插件,否则此变量不可用。在插件启动时,如果指定的值
keyring_aws_data_file
指定了一个不存在的文件,keyring_aws
插件会尝试创建它(以及它的父目录,如果需要的话)。如果文件确实存在,则将文件中keyring_aws
包含的所有加密密钥读入其内存缓存中。keyring_aws
不在内存中缓存未加密的密钥。默认文件名为
keyring_aws_data
,位于默认密钥环文件目录中。keyring_file_data
此默认目录的位置与系统变量的位置相同 。有关详细信息以及手动创建目录时要考虑的注意事项,请参阅该变量的描述。 -
命令行格式 --keyring-aws-region=value
介绍 5.7.19 系统变量 keyring_aws_region
范围 全球的 动态的 是的 类型 枚举 默认值 us-east-1
有效值 (≥ 5.7.39) af-south-1
ap-east-1
ap-northeast-1
ap-northeast-2
ap-northeast-3
ap-south-1
ap-southeast-1
ap-southeast-2
ca-central-1
cn-north-1
cn-northwest-1
eu-central-1
eu-north-1
eu-south-1
eu-west-1
eu-west-2
eu-west-3
me-south-1
sa-east-1
us-east-1
us-east-2
us-gov-east-1
us-iso-east-1
us-iso-west-1
us-isob-east-1
us-west-1
us-west-2
有效值(≥ 5.7.27,≤ 5.7.38) ap-northeast-1
ap-northeast-2
ap-south-1
ap-southeast-1
ap-southeast-2
ca-central-1
cn-north-1
cn-northwest-1
eu-central-1
eu-west-1
eu-west-2
eu-west-3
sa-east-1
us-east-1
us-east-2
us-west-1
us-west-2
有效值(≥ 5.7.19,≤ 5.7.26) ap-northeast-1
ap-northeast-2
ap-south-1
ap-southeast-1
ap-southeast-2
eu-central-1
eu-west-1
sa-east-1
us-east-1
us-west-1
us-west-2
keyring_aws
插件 的 AWS 区域。除非安装了该插件,否则此变量不可用。 -
命令行格式 --keyring-encrypted-file-data=file_name
介绍 5.7.21 系统变量 keyring_encrypted_file_data
范围 全球的 动态的 是的 类型 文件名 默认值 platform specific
keyring_encrypted_file
插件 用于安全数据存储的数据文件的路径名。除非安装了该插件,否则此变量不可用。文件位置应位于仅供密钥环插件使用的目录中。例如,不要将文件定位到数据目录下。Keyring 操作是事务性的:
keyring_encrypted_file
插件在写入操作期间使用备份文件,以确保在操作失败时可以回滚到原始文件。备份文件与系统变量的值同名,keyring_encrypted_file_data
后缀为.backup
.不要
keyring_encrypted_file
对多个 MySQL 实例使用相同的数据文件。每个实例都应该有自己唯一的数据文件。默认文件名为
keyring_encrypted
,位于特定于平台的目录中,具体取决于CMake选项的值,如下表所示。如果您从源代码构建,要明确指定文件的默认目录,请使用 CMake选项。INSTALL_LAYOUT
INSTALL_MYSQLKEYRINGDIR
INSTALL_LAYOUT
价值默认 keyring_encrypted_file_data
值DEB
,RPM
,SLES
,SVR4
/var/lib/mysql-keyring/keyring_encrypted
否则 keyring/keyring_encrypted
CMAKE_INSTALL_PREFIX
值以下在插件启动时,如果指定的值
keyring_encrypted_file_data
指定了一个不存在的文件,keyring_encrypted_file
插件会尝试创建它(以及它的父目录,如果需要的话)。如果您手动创建该目录,它应该具有限制模式并且只能由用于运行 MySQL 服务器的帐户访问。例如,在 Unix 和类 Unix 系统上,要使用
/usr/local/mysql/mysql-keyring
目录,以下命令(执行为root
)创建目录并设置其模式和所有权:cd /usr/local/mysql mkdir mysql-keyring chmod 750 mysql-keyring chown mysql mysql-keyring chgrp mysql mysql-keyring
如果
keyring_encrypted_file
插件无法创建或访问其数据文件,它会将错误消息写入错误日志。如果尝试的运行时分配keyring_encrypted_file_data
导致错误,则变量值保持不变。重要的一旦
keyring_encrypted_file
插件创建了它的数据文件并开始使用它,重要的是不要删除该文件。文件丢失会导致使用其密钥加密的数据变得无法访问。(允许重命名或移动文件,只要将 的值更改keyring_encrypted_file_data
为匹配即可。) keyring_encrypted_file_password
命令行格式 --keyring-encrypted-file-password=password
介绍 5.7.21 系统变量 keyring_encrypted_file_password
范围 全球的 动态的 是的 类型 细绳 keyring_encrypted_file
插件 使用的密码 。除非安装了该插件,否则此变量不可用。这个变量是强制性的。如果未指定,则
keyring_encrypted_file
初始化失败。如果在选项文件中指定了此变量,则该文件应具有限制模式,并且只能由用于运行 MySQL 服务器的帐户访问。
重要的设置该
keyring_encrypted_file_password
值后,更改它不会轮换密钥环密码,并且可能使服务器无法访问。如果提供的密码不正确,keyring_encrypted_file
插件将无法从加密的密钥环文件中加载密钥。密码值无法在运行时使用
SHOW VARIABLES
Performance Schemaglobal_variables
表显示,因为显示值被混淆了。-
命令行格式 --keyring-file-data=file_name
介绍 5.7.11 系统变量 keyring_file_data
范围 全球的 动态的 是的 类型 文件名 默认值 platform specific
keyring_file
插件 用于安全数据存储的数据文件的路径名。除非安装了该插件,否则此变量不可用。文件位置应位于仅供密钥环插件使用的目录中。例如,不要将文件定位到数据目录下。Keyring 操作是事务性的:
keyring_file
插件在写入操作期间使用备份文件,以确保在操作失败时可以回滚到原始文件。备份文件与系统变量的值同名,keyring_file_data
后缀为.backup
.不要
keyring_file
对多个 MySQL 实例使用相同的数据文件。每个实例都应该有自己唯一的数据文件。默认文件名为
keyring
,位于特定于平台的目录中,具体取决于 CMake选项的值,如下表所示。如果您从源代码构建,要明确指定文件的默认目录,请使用 CMake选项。INSTALL_LAYOUT
INSTALL_MYSQLKEYRINGDIR
INSTALL_LAYOUT
价值默认 keyring_file_data
值DEB
,RPM
,SLES
,SVR4
/var/lib/mysql-keyring/keyring
否则 keyring/keyring
CMAKE_INSTALL_PREFIX
值以下在插件启动时,如果指定的值
keyring_file_data
指定了一个不存在的文件,keyring_file
插件会尝试创建它(以及它的父目录,如果需要的话)。如果您手动创建该目录,它应该具有限制模式并且只能由用于运行 MySQL 服务器的帐户访问。例如,在 Unix 和类 Unix 系统上,要使用
/usr/local/mysql/mysql-keyring
目录,以下命令(执行为root
)创建目录并设置其模式和所有权:cd /usr/local/mysql mkdir mysql-keyring chmod 750 mysql-keyring chown mysql mysql-keyring chgrp mysql mysql-keyring
如果
keyring_file
插件无法创建或访问其数据文件,它会将错误消息写入错误日志。如果尝试的运行时分配keyring_file_data
导致错误,则变量值保持不变。重要的一旦
keyring_file
插件创建了它的数据文件并开始使用它,重要的是不要删除该文件。例如,InnoDB
使用文件存储用于解密使用InnoDB
表空间加密的表中的数据的主密钥;参见 第 14.14 节,“InnoDB 静态数据加密”。文件丢失会导致此类表中的数据变得不可访问。(重命名或移动文件是允许的,只要你改变keyring_file_data
以匹配。)建议您在创建第一个加密表后以及主密钥轮换前后立即创建密钥环数据文件的单独备份。 -
命令行格式 --keyring-okv-conf-dir=dir_name
介绍 5.7.12 系统变量 keyring_okv_conf_dir
范围 全球的 动态的 是的 类型 目录名称 默认值 empty string
keyring_okv
存储插件 使用的配置信息的目录的路径名。除非安装了该插件,否则此变量不可用。该位置应该是仅供keyring_okv
插件使用的目录。例如,不要将目录定位到数据目录下。默认
keyring_okv_conf_dir
值为空。对于keyring_okv
能够访问 Oracle Key Vault 的插件,必须将该值设置为包含 Oracle Key Vault 配置和 SSL 材料的目录。有关设置此目录的说明,请参阅第 6.4.4.4 节,“使用 keyring_okv KMIP 插件”。该目录应该具有限制模式,并且只能由用于运行 MySQL 服务器的帐户访问。例如,在 Unix 和类 Unix 系统上,要使用
/usr/local/mysql/mysql-keyring-okv
目录,以下命令(执行为root
)创建目录并设置其模式和所有权:cd /usr/local/mysql mkdir mysql-keyring-okv chmod 750 mysql-keyring-okv chown mysql mysql-keyring-okv chgrp mysql mysql-keyring-okv
如果分配给的值
keyring_okv_conf_dir
指定了一个不存在的目录,或者该目录不包含允许建立与 Oracle Key Vault 的连接的配置信息,keyring_okv
则将一条错误消息写入错误日志。如果尝试的运行时分配keyring_okv_conf_dir
导致错误,则变量值和密钥环操作保持不变。 -
介绍 5.7.21 系统变量 keyring_operations
范围 全球的 动态的 是的 类型 布尔值 默认值 ON
是否启用密钥环操作。此变量在密钥迁移操作期间使用。请参阅 第 6.4.4.7 节,“在密钥环密钥库之间迁移密钥”。