Documentation Home
MySQL 8.0 参考手册

6.4.4.19 密钥环系统变量

MySQL Keyring 插件支持以下系统变量。使用它们来配置密钥环插件操作。除非安装了适当的密钥环插件,否则这些变量不可用(请参阅第 6.4.4.3 节,“密钥环插件安装”)。

  • keyring_aws_cmk_id

    命令行格式 --keyring-aws-cmk-id=value
    系统变量 keyring_aws_cmk_id
    范围 全球的
    动态的 是的
    SET_VAR提示适用
    类型 细绳

    从 AWS KMS 服务器获取并由keyring_aws插件使用的 KMS 密钥 ID。除非安装了该插件,否则此变量不可用。

    这个变量是强制性的。如果未指定,则 keyring_aws初始化失败。

  • keyring_aws_conf_file

    命令行格式 --keyring-aws-conf-file=file_name
    系统变量 keyring_aws_conf_file
    范围 全球的
    动态的
    SET_VAR提示适用
    类型 文件名
    默认值 platform specific

    keyring_aws插件 配置文件的位置 。除非安装了该插件,否则此变量不可用。

    在插件启动时,keyring_aws从配置文件中读取 AWS 秘密访问密钥 ID 和密钥。为了使keyring_aws插件成功启动,配置文件必须存在并包含有效的秘密访问密钥信息,如第 6.4.4.9 节“使用 keyring_aws Amazon Web 服务密钥环插件”中所述进行初始化。

    默认文件名为 keyring_aws_conf,位于默认密钥环文件目录中。keyring_file_data此默认目录的位置与系统变量的位置相同 。有关详细信息以及手动创建目录时要考虑的注意事项,请参阅该变量的描述。

  • keyring_aws_data_file

    命令行格式 --keyring-aws-data-file
    系统变量 keyring_aws_data_file
    范围 全球的
    动态的
    SET_VAR提示适用
    类型 文件名
    默认值 platform specific

    keyring_aws插件 存储文件的位置 。除非安装了该插件,否则此变量不可用。

    在插件启动时,如果指定的值 keyring_aws_data_file 指定了一个不存在的文件, keyring_aws插件会尝试创建它(以及它的父目录,如果需要的话)。如果文件确实存在,则将文件中keyring_aws包含的所有加密密钥读入其内存缓存中。keyring_aws不在内存中缓存未加密的密钥。

    默认文件名为 keyring_aws_data,位于默认密钥环文件目录中。keyring_file_data此默认目录的位置与系统变量的位置相同 。有关详细信息以及手动创建目录时要考虑的注意事项,请参阅该变量的描述。

  • keyring_aws_region

    命令行格式 --keyring-aws-region=value
    系统变量 keyring_aws_region
    范围 全球的
    动态的 是的
    SET_VAR提示适用
    类型 枚举
    默认值 us-east-1
    有效值 (≥ 8.0.30)

    af-south-1

    ap-east-1

    ap-northeast-1

    ap-northeast-2

    ap-northeast-3

    ap-south-1

    ap-southeast-1

    ap-southeast-2

    ca-central-1

    cn-north-1

    cn-northwest-1

    eu-central-1

    eu-north-1

    eu-south-1

    eu-west-1

    eu-west-2

    eu-west-3

    me-south-1

    sa-east-1

    us-east-1

    us-east-2

    us-gov-east-1

    us-iso-east-1

    us-iso-west-1

    us-isob-east-1

    us-west-1

    us-west-2
    有效值(≥ 8.0.17,≤ 8.0.29)

    ap-northeast-1

    ap-northeast-2

    ap-south-1

    ap-southeast-1

    ap-southeast-2

    ca-central-1

    cn-north-1

    cn-northwest-1

    eu-central-1

    eu-west-1

    eu-west-2

    eu-west-3

    sa-east-1

    us-east-1

    us-east-2

    us-west-1

    us-west-2
    有效值(≤ 8.0.16)

    ap-northeast-1

    ap-northeast-2

    ap-south-1

    ap-southeast-1

    ap-southeast-2

    eu-central-1

    eu-west-1

    sa-east-1

    us-east-1

    us-west-1

    us-west-2

    keyring_aws 插件 的 AWS 区域。除非安装了该插件,否则此变量不可用。

  • keyring_encrypted_file_data

    命令行格式 --keyring-encrypted-file-data=file_name
    系统变量 keyring_encrypted_file_data
    范围 全球的
    动态的 是的
    SET_VAR提示适用
    类型 文件名
    默认值 platform specific

    keyring_encrypted_file插件 用于安全数据存储的数据文件的路径名。除非安装了该插件,否则此变量不可用。文件位置应位于仅供密钥环插件使用的目录中。例如,不要将文件定位到数据目录下。

    Keyring 操作是事务性的: keyring_encrypted_file插件在写入操作期间使用备份文件,以确保在操作失败时可以回滚到原始文件。备份文件与系统变量的值同名, keyring_encrypted_file_data 后缀为 .backup.

    不要 keyring_encrypted_file对多个 MySQL 实例使用相同的数据文件。每个实例都应该有自己唯一的数据文件。

    默认文件名为 keyring_encrypted,位于特定于平台的目录中,具体取决于CMake选项的值,如下表所示。如果您从源代码构建,要明确指定文件的默认目录,请使用 CMake选项。 INSTALL_LAYOUT INSTALL_MYSQLKEYRINGDIR

    INSTALL_LAYOUT价值 默认keyring_encrypted_file_data
    DEB, RPM,SVR4 /var/lib/mysql-keyring/keyring_encrypted
    否则 keyring/keyring_encryptedCMAKE_INSTALL_PREFIX 值以下

    在插件启动时,如果指定的值 keyring_encrypted_file_data 指定了一个不存在的文件, keyring_encrypted_file插件会尝试创建它(以及它的父目录,如果需要的话)。

    如果您手动创建该目录,它应该具有限制模式并且只能由用于运行 MySQL 服务器的帐户访问。例如,在 Unix 和类 Unix 系统上,要使用 /usr/local/mysql/mysql-keyring 目录,以下命令(执行为 root)创建目录并设置其模式和所有权: 

    cd /usr/local/mysql
mkdir mysql-keyring
chmod 750 mysql-keyring
chown mysql mysql-keyring
chgrp mysql mysql-keyring

    如果keyring_encrypted_file插件无法创建或访问其数据文件,它会将错误消息写入错误日志。如果尝试的运行时分配 keyring_encrypted_file_data 导致错误,则变量值保持不变。

    重要的

    一旦keyring_encrypted_file插件创建了它的数据文件并开始使用它,重要的是不要删除该文件。文件丢失会导致使用其密钥加密的数据变得无法访问。(允许重命名或移动文件,只要将 的值更改 keyring_encrypted_file_data 为匹配即可。)

  • keyring_encrypted_file_password

    命令行格式 --keyring-encrypted-file-password=password
    系统变量 keyring_encrypted_file_password
    范围 全球的
    动态的 是的
    SET_VAR提示适用
    类型 细绳

    keyring_encrypted_file插件 使用的密码 。除非安装了该插件,否则此变量不可用。

    这个变量是强制性的。如果未指定,则 keyring_encrypted_file初始化失败。

    如果在选项文件中指定了此变量,则该文件应具有限制模式,并且只能由用于运行 MySQL 服务器的帐户访问。

    重要的

    设置该 keyring_encrypted_file_password 值后,更改它不会轮换密钥环密码,并且可能使服务器无法访问。如果提供的密码不正确, keyring_encrypted_file插件将无法从加密的密钥环文件中加载密钥。

    密码值无法在运行时使用 SHOW VARIABLESPerformance Schema global_variables表显示,因为显示值被混淆了。

  • keyring_file_data

    命令行格式 --keyring-file-data=file_name
    系统变量 keyring_file_data
    范围 全球的
    动态的 是的
    SET_VAR提示适用
    类型 文件名
    默认值 platform specific

    keyring_file插件 用于安全数据存储的数据文件的路径名。除非安装了该插件,否则此变量不可用。文件位置应位于仅供密钥环插件使用的目录中。例如,不要将文件定位到数据目录下。

    Keyring 操作是事务性的: keyring_file插件在写入操作期间使用备份文件,以确保在操作失败时可以回滚到原始文件。备份文件与系统变量的值同名, keyring_file_data后缀为.backup.

    不要keyring_file对多个 MySQL 实例使用相同的数据文件。每个实例都应该有自己唯一的数据文件。

    默认文件名为keyring,位于特定于平台的目录中,具体取决于 CMake选项的值,如下表所示。如果您从源代码构建,要明确指定文件的默认目录,请使用 CMake选项。 INSTALL_LAYOUT INSTALL_MYSQLKEYRINGDIR

    INSTALL_LAYOUT价值 默认keyring_file_data
    DEB, RPM,SVR4 /var/lib/mysql-keyring/keyring
    否则 keyring/keyringCMAKE_INSTALL_PREFIX 值以下

    在插件启动时,如果指定的值 keyring_file_data指定了一个不存在的文件, keyring_file插件会尝试创建它(以及它的父目录,如果需要的话)。

    如果您手动创建该目录,它应该具有限制模式并且只能由用于运行 MySQL 服务器的帐户访问。例如,在 Unix 和类 Unix 系统上,要使用 /usr/local/mysql/mysql-keyring 目录,以下命令(执行为 root)创建目录并设置其模式和所有权: 

    cd /usr/local/mysql
mkdir mysql-keyring
chmod 750 mysql-keyring
chown mysql mysql-keyring
chgrp mysql mysql-keyring

    如果keyring_file插件无法创建或访问其数据文件,它会将错误消息写入错误日志。如果尝试的运行时分配 keyring_file_data导致错误,则变量值保持不变。

    重要的

    一旦keyring_file插件创建了它的数据文件并开始使用它,重要的是不要删除该文件。例如, InnoDB使用文件存储用于解密使用 InnoDB表空间加密的表中的数据的主密钥;参见 第 15.13 节,“InnoDB 静态数据加密”。文件丢失会导致此类表中的数据变得不可访问。(重命名或移动文件是允许的,只要你改变 keyring_file_data以匹配。)建议您在创建第一个加密表后以及主密钥轮换前后立即创建密钥环数据文件的单独备份。

  • keyring_hashicorp_auth_path

    命令行格式 --keyring-hashicorp-auth-path=value
    介绍 8.0.18
    系统变量 keyring_hashicorp_auth_path
    范围 全球的
    动态的 是的
    SET_VAR提示适用
    类型 细绳
    默认值 /v1/auth/approle/login

    在 HashiCorp Vault 服务器中启用 AppRole 身份验证的身份验证路径,供 keyring_hashicorp插件使用。除非安装了该插件,否则此变量不可用。

  • keyring_hashicorp_ca_path

    命令行格式 --keyring-hashicorp-ca-path=file_name
    介绍 8.0.18
    系统变量 keyring_hashicorp_ca_path
    范围 全球的
    动态的 是的
    SET_VAR提示适用
    类型 文件名
    默认值 empty string

    MySQL 服务器可访问的本地文件的绝对路径名,其中包含供 keyring_hashicorp插件使用的格式正确的 TLS 证书颁发机构。除非安装了该插件,否则此变量不可用。

    如果未设置此变量,则 keyring_hashicorp插件会在不使用服务器证书验证的情况下打开 HTTPS 连接,并信任 HashiCorp Vault 服务器提供的任何证书。为了安全起见,必须假设 Vault 服务器不是恶意的,并且不可能发生中间人攻击。如果这些假设无效,请设置 keyring_hashicorp_ca_path 为受信任的 CA 证书的路径。(例如,对于 Certificate and Key Preparation中的说明,这是该company.crt文件。)

  • keyring_hashicorp_caching

    命令行格式 --keyring-hashicorp-caching[={OFF|ON}]
    介绍 8.0.18
    系统变量 keyring_hashicorp_caching
    范围 全球的
    动态的 是的
    SET_VAR提示适用
    类型 布尔值
    默认值 OFF

    是否启用keyring_hashicorp插件使用的可选内存中密钥缓存来缓存来自 HashiCorp Vault 服务器的密钥。除非安装了该插件,否则此变量不可用。如果启用缓存,插件会在初始化期间填充它。否则,插件在初始化期间仅填充密钥列表。

    启用缓存是一种妥协:它提高了性能,但在内存中保留了一份敏感密钥信息的副本,出于安全目的,这可能是不可取的。

  • keyring_hashicorp_commit_auth_path

    介绍 8.0.18
    系统变量 keyring_hashicorp_commit_auth_path
    范围 全球的
    动态的
    SET_VAR提示适用
    类型 细绳

    此变量与 关联 ,在插件初始化keyring_hashicorp_auth_path期间从中获取值 。keyring_hashicorp除非安装了该插件,否则此变量不可用。如果初始化成功,它反映了实际用于插件操作的提交”值。有关其他信息,请参阅 keyring_hashicorp 配置

  • keyring_hashicorp_commit_ca_path

    介绍 8.0.18
    系统变量 keyring_hashicorp_commit_ca_path
    范围 全球的
    动态的
    SET_VAR提示适用
    类型 细绳

    此变量与 关联 ,在插件初始化keyring_hashicorp_ca_path期间从中获取值 。keyring_hashicorp除非安装了该插件,否则此变量不可用。如果初始化成功,它反映了实际用于插件操作的提交”值。有关其他信息,请参阅 keyring_hashicorp 配置

  • keyring_hashicorp_commit_caching

    介绍 8.0.18
    系统变量 keyring_hashicorp_commit_caching
    范围 全球的
    动态的
    SET_VAR提示适用
    类型 细绳

    此变量与 关联 ,在插件初始化keyring_hashicorp_caching期间从中获取值 。keyring_hashicorp除非安装了该插件,否则此变量不可用。如果初始化成功,它反映了实际用于插件操作的提交”值。有关其他信息,请参阅 keyring_hashicorp 配置

  • keyring_hashicorp_commit_role_id

    介绍 8.0.18
    系统变量 keyring_hashicorp_commit_role_id
    范围 全球的
    动态的
    SET_VAR提示适用
    类型 细绳

    此变量与 关联 ,在插件初始化keyring_hashicorp_role_id期间从中获取值 。keyring_hashicorp除非安装了该插件,否则此变量不可用。如果初始化成功,它反映了实际用于插件操作的提交”值。有关其他信息,请参阅 keyring_hashicorp 配置

  • keyring_hashicorp_commit_server_url

    介绍 8.0.18
    系统变量 keyring_hashicorp_commit_server_url
    范围 全球的
    动态的
    SET_VAR提示适用
    类型 细绳

    此变量与 关联 ,在插件初始化keyring_hashicorp_server_url期间从中获取值 。keyring_hashicorp除非安装了该插件,否则此变量不可用。如果初始化成功,它反映了实际用于插件操作的提交”值。有关其他信息,请参阅 keyring_hashicorp 配置

  • keyring_hashicorp_commit_store_path

    介绍 8.0.18
    系统变量 keyring_hashicorp_commit_store_path
    范围 全球的
    动态的
    SET_VAR提示适用
    类型 细绳

    此变量与 关联 ,在插件初始化keyring_hashicorp_store_path期间从中获取值 。keyring_hashicorp除非安装了该插件,否则此变量不可用。如果初始化成功,它反映了实际用于插件操作的提交”值。有关其他信息,请参阅 keyring_hashicorp 配置

  • keyring_hashicorp_role_id

    命令行格式 --keyring-hashicorp-role-id=value
    介绍 8.0.18
    系统变量 keyring_hashicorp_role_id
    范围 全球的
    动态的 是的
    SET_VAR提示适用
    类型 细绳
    默认值 empty string

    HashiCorp Vault AppRole 身份验证角色 ID,供keyring_hashicorp插件使用。除非安装了该插件,否则此变量不可用。该值必须采用 UUID 格式。

    这个变量是强制性的。如果未指定,则 keyring_hashicorp初始化失败。

  • keyring_hashicorp_secret_id

    命令行格式 --keyring-hashicorp-secret-id=value
    介绍 8.0.18
    系统变量 keyring_hashicorp_secret_id
    范围 全球的
    动态的 是的
    SET_VAR提示适用
    类型 细绳
    默认值 empty string

    HashiCorp Vault AppRole 身份验证秘密 ID,供keyring_hashicorp插件使用。除非安装了该插件,否则此变量不可用。该值必须采用 UUID 格式。

    这个变量是强制性的。如果未指定,则 keyring_hashicorp初始化失败。

    这个变量的值是敏感的,所以它的值*在显示时被字符屏蔽。

  • keyring_hashicorp_server_url

    命令行格式 --keyring-hashicorp-server-url=value
    介绍 8.0.18
    系统变量 keyring_hashicorp_server_url
    范围 全球的
    动态的 是的
    SET_VAR提示适用
    类型 细绳
    默认值 https://127.0.0.1:8200

    HashiCorp Vault 服务器 URL,供 keyring_hashicorp插件使用。除非安装了该插件,否则此变量不可用。该值必须以https://.

  • keyring_hashicorp_store_path

    命令行格式 --keyring-hashicorp-store-path=value
    介绍 8.0.18
    系统变量 keyring_hashicorp_store_path
    范围 全球的
    动态的 是的
    SET_VAR提示适用
    类型 细绳
    默认值 empty string

    HashiCorp Vault 服务器中的存储路径,当插件提供适当的 AppRole 凭据时可写keyring_hashicorp。除非安装了该插件,否则此变量不可用。要指定凭据,请设置 keyring_hashicorp_role_idkeyring_hashicorp_secret_id 系统变量(例如,如 keyring_hashicorp Configuration中所示)。

    这个变量是强制性的。如果未指定,则 keyring_hashicorp初始化失败。

  • keyring_oci_ca_certificate

    命令行格式 --keyring-oci-ca-certificate=file_name
    介绍 8.0.22
    系统变量 keyring_oci_ca_certificate
    范围 全球的
    动态的
    SET_VAR提示适用
    类型 细绳
    默认值 empty string

    keyring_oci插件用于 Oracle Cloud Infrastructure 证书验证 的 CA 证书包文件的路径名 。除非安装了该插件,否则此变量不可用。

    该文件包含一个或多个用于对等验证的证书。如果未指定文件,则使用系统上安装的默认 CA 捆绑包。如果值为 disabled(区分大小写), keyring_oci则不执行证书验证。

  • keyring_oci_compartment

    命令行格式 --keyring-oci-compartment=ocid
    介绍 8.0.22
    系统变量 keyring_oci_compartment
    范围 全球的
    动态的
    SET_VAR提示适用
    类型 细绳

    keyring_oci插件用作 MySQL 密钥位置的 租户隔离区的 OCID 。除非安装了该插件,否则此变量不可用。

    在使用 之前keyring_oci,您必须创建一个 MySQL 隔离区或子隔离区(如果不存在)。此隔间不应包含保管库密钥或保管库机密。它不应该被 MySQL Keyring 以外的系统使用。

    有关管理隔离区和获取 OCID 的信息,请参阅 管理隔离区。

    这个变量是强制性的。如果未指定,则 keyring_oci初始化失败。

  • keyring_oci_encryption_endpoint

    命令行格式 --keyring-oci-encryption-endpoint=value
    介绍 8.0.22
    系统变量 keyring_oci_encryption_endpoint
    范围 全球的
    动态的
    SET_VAR提示适用
    类型 细绳

    keyring_oci插件用于为新密钥生成密文 的 Oracle Cloud Infrastructure 加密服务器的端点 。除非安装了该插件,否则此变量不可用。

    加密端点特定于保管库,Oracle 云基础设施在创建保管库时分配它。要获取端点 OCID,请使用管理保管库中的说明查看 keyring_oci保管库 的配置详细信息。

    这个变量是强制性的。如果未指定,则 keyring_oci初始化失败。

  • keyring_oci_key_file

    命令行格式 --keyring-oci-key-file=file_name
    介绍 8.0.22
    系统变量 keyring_oci_key_file
    范围 全球的
    动态的
    SET_VAR提示适用
    类型 细绳

    keyring_oci包含插件用于 Oracle Cloud Infrastructure 身份验证 的 RSA 私钥的文件的路径名。除非安装了该插件,否则此变量不可用。

    您还必须使用控制台上传相应的 RSA 公钥。控制台显示密钥指纹值,您可以使用它来设置 keyring_oci_key_fingerprint 系统变量。

    有关生成和上传 API 密钥的信息,请参阅 Required Keys and OCIDs

    这个变量是强制性的。如果未指定,则 keyring_oci初始化失败。

  • keyring_oci_key_fingerprint

    命令行格式 --keyring-oci-key-fingerprint=value
    介绍 8.0.22
    系统变量 keyring_oci_key_fingerprint
    范围 全球的
    动态的
    SET_VAR提示适用
    类型 细绳

    keyring_oci插件用于 Oracle Cloud Infrastructure 身份验证 的 RSA 私钥指纹 。除非安装了该插件,否则此变量不可用。

    要在创建 API 密钥时获取密钥指纹,请执行以下命令: 

    openssl rsa -pubout -outform DER -in ~/.oci/oci_api_key.pem | openssl md5 -c

    或者,从控制台获取指纹,控制台会在您上传 RSA 公钥时自动显示指纹。

    有关获取密钥指纹的信息,请参阅 Required Keys and OCIDs

    这个变量是强制性的。如果未指定,则 keyring_oci初始化失败。

  • keyring_oci_management_endpoint

    命令行格式 --keyring-oci-management-endpoint=value
    介绍 8.0.22
    系统变量 keyring_oci_management_endpoint
    范围 全球的
    动态的
    SET_VAR提示适用
    类型 细绳

    keyring_oci插件用于列出现有密钥 的 Oracle Cloud Infrastructure 密钥管理服务器的端点 。除非安装了该插件,否则此变量不可用。

    密钥管理端点特定于保管库,Oracle 云基础设施在创建保管库时分配它。要获取端点 OCID,请使用管理保管库中的说明查看 keyring_oci保管库 的配置详细信息。

    这个变量是强制性的。如果未指定,则 keyring_oci初始化失败。

  • keyring_oci_master_key

    命令行格式 --keyring-oci-master-key=ocid
    介绍 8.0.22
    系统变量 keyring_oci_master_key
    范围 全球的
    动态的
    SET_VAR提示适用
    类型 细绳

    keyring_oci插件用于机密加密 的 Oracle Cloud Infrastructure 主加密密钥的 OCID 。除非安装了该插件,否则此变量不可用。

    在使用 之前keyring_oci,您必须为 Oracle Cloud Infrastructure 区间创建一个加密密钥(如果它不存在)。为生成的密钥提供一个 MySQL 特定的名称,不要将其用于其他目的。

    有关密钥创建的信息,请参阅 管理密钥

    这个变量是强制性的。如果未指定,则 keyring_oci初始化失败。

  • keyring_oci_secrets_endpoint

    命令行格式 --keyring-oci-secrets-endpoint=value
    介绍 8.0.22
    系统变量 keyring_oci_secrets_endpoint
    范围 全球的
    动态的
    SET_VAR提示适用
    类型 细绳

    keyring_oci插件用于列出、创建和停用机密 的 Oracle Cloud Infrastructure 机密服务器端点 。除非安装了该插件,否则此变量不可用。

    机密端点是特定于保管库的,Oracle 云基础设施在创建保管库时分配它。要获取端点 OCID,请使用管理保管库中的说明查看 keyring_oci保管库 的配置详细信息。

    这个变量是强制性的。如果未指定,则 keyring_oci初始化失败。

  • keyring_oci_tenancy

    命令行格式 --keyring-oci-tenancy=ocid
    介绍 8.0.22
    系统变量 keyring_oci_tenancy
    范围 全球的
    动态的
    SET_VAR提示适用
    类型 细绳

    keyring_oci插件用作 MySQL 隔间位置的 Oracle Cloud Infrastructure 租赁的 OCID 。除非安装了该插件,否则此变量不可用。

    在使用 之前keyring_oci,您必须创建一个租赁(如果不存在)。要从控制台获取租赁 OCID,请使用 Required Keys and OCIDs中的说明。

    这个变量是强制性的。如果未指定,则 keyring_oci初始化失败。

  • keyring_oci_user

    命令行格式 --keyring-oci-user=ocid
    介绍 8.0.22
    系统变量 keyring_oci_user
    范围 全球的
    动态的
    SET_VAR提示适用
    类型 细绳

    keyring_oci插件用于云连接 的 Oracle Cloud Infrastructure 用户的 OCID 。除非安装了该插件,否则此变量不可用。

    在使用 之前keyring_oci,该用户必须存在并被授予访问权限才能使用配置的 Oracle Cloud Infrastructure 租赁、隔离区和保险库资源。

    要从控制台获取用户 OCID,请使用 Required Keys and OCIDs中的说明。

    这个变量是强制性的。如果未指定,则 keyring_oci初始化失败。

  • keyring_oci_vaults_endpoint

    命令行格式 --keyring-oci-vaults-endpoint=value
    介绍 8.0.22
    系统变量 keyring_oci_vaults_endpoint
    范围 全球的
    动态的
    SET_VAR提示适用
    类型 细绳

    keyring_oci插件用于获取机密值 的 Oracle Cloud Infrastructure 保管库服务器端点 。除非安装了该插件,否则此变量不可用。

    保险库端点是特定于保险库的,Oracle 云基础设施在创建保险库时分配它。要获取端点 OCID,请使用管理保管库中的说明查看 keyring_oci保管库 的配置详细信息。

    这个变量是强制性的。如果未指定,则 keyring_oci初始化失败。

  • keyring_oci_virtual_vault

    命令行格式 --keyring-oci-virtual-vault=ocid
    介绍 8.0.22
    系统变量 keyring_oci_virtual_vault
    范围 全球的
    动态的
    SET_VAR提示适用
    类型 细绳

    keyring_oci插件用于加密操作 的 Oracle Cloud Infrastructure Vault 的 OCID 。除非安装了该插件,否则此变量不可用。

    在使用 之前keyring_oci,您必须在 MySQL 区间中创建一个新的保管库(如果它不存在)。(或者,您可以重用 MySQL 隔间的父隔间中的现有保险库。)隔间用户只能查看和使用其各自隔间中的密钥。

    有关创建保管库和获取保管库 OCID 的信息,请参阅 管理保管库

    这个变量是强制性的。如果未指定,则 keyring_oci初始化失败。

  • keyring_okv_conf_dir

    命令行格式 --keyring-okv-conf-dir=dir_name
    系统变量 keyring_okv_conf_dir
    范围 全球的
    动态的 是的
    SET_VAR提示适用
    类型 目录名称
    默认值 empty string

    keyring_okv 存储插件 使用的配置信息的目录的路径名。除非安装了该插件,否则此变量不可用。该位置应该是仅供keyring_okv插件使用的目录。例如,不要将目录定位到数据目录下。

    默认 keyring_okv_conf_dir值为空。对于keyring_okv能够访问 Oracle Key Vault 的插件,必须将该值设置为包含 Oracle Key Vault 配置和 SSL 材料的目录。有关设置此目录的说明,请参阅第 6.4.4.8 节,“使用 keyring_okv KMIP 插件”

    该目录应该具有限制模式,并且只能由用于运行 MySQL 服务器的帐户访问。例如,在 Unix 和类 Unix 系统上,要使用 /usr/local/mysql/mysql-keyring-okv 目录,以下命令(执行为 root)创建目录并设置其模式和所有权: 

    cd /usr/local/mysql
mkdir mysql-keyring-okv
chmod 750 mysql-keyring-okv
chown mysql mysql-keyring-okv
chgrp mysql mysql-keyring-okv

    如果分配给的值 keyring_okv_conf_dir 指定了一个不存在的目录,或者该目录不包含允许建立与 Oracle Key Vault 的连接的配置信息, keyring_okv则将一条错误消息写入错误日志。如果尝试的运行时分配 keyring_okv_conf_dir 导致错误,则变量值和密钥环操作保持不变。

  • keyring_operations

    系统变量 keyring_operations
    范围 全球的
    动态的 是的
    SET_VAR提示适用
    类型 布尔值
    默认值 ON

    是否启用密钥环操作。此变量在密钥迁移操作期间使用。请参阅 第 6.4.4.14 节,“在密钥环密钥库之间迁移密钥”。修改此变量所需的权限是 ENCRYPTION_KEY_ADMIN对任 一权限SYSTEM_VARIABLES_ADMIN或已弃用SUPER权限的补充。