MySQL 8.4 版本注意事項
MySQL 金鑰環外掛程式支援下列系統變數。使用它們來設定金鑰環外掛程式的運作方式。除非安裝了適當的金鑰環外掛程式,否則這些變數無法使用 (請參閱第 8.4.4.3 節,「金鑰環外掛程式安裝」)。
-
命令列格式 --keyring-aws-cmk-id=值系統變數 keyring_aws_cmk_id範圍 全域 動態 是 SET_VAR提示語適用否 類型 字串 從 AWS KMS 伺服器取得,並由
keyring_aws外掛程式使用的 KMS 金鑰 ID。除非安裝了該外掛程式,否則此變數無法使用。此變數為必要。如果未指定,
keyring_aws初始化將會失敗。 -
命令列格式 --keyring-aws-conf-file=檔案名稱系統變數 keyring_aws_conf_file範圍 全域 動態 否 SET_VAR提示語適用否 類型 檔案名稱 預設值 平台特定keyring_aws外掛程式的組態檔位置。除非安裝了該外掛程式,否則此變數無法使用。在外掛程式啟動時,
keyring_aws會從組態檔讀取 AWS 秘密存取金鑰 ID 和金鑰。為了讓keyring_aws外掛程式順利啟動,組態檔必須存在,且必須包含有效的秘密存取金鑰資訊,並按照第 8.4.4.7 節,「使用 keyring_aws Amazon Web Services 金鑰環外掛程式」所述進行初始化。預設檔案名稱為
keyring_aws_conf,位於預設的金鑰環檔案目錄中。 -
命令列格式 --keyring-aws-data-file系統變數 keyring_aws_data_file範圍 全域 動態 否 SET_VAR提示語適用否 類型 檔案名稱 預設值 平台特定keyring_aws外掛程式的儲存檔案位置。除非安裝了該外掛程式,否則此變數無法使用。在外掛程式啟動時,如果指派給
keyring_aws_data_file的值指定了不存在的檔案,則keyring_aws外掛程式會嘗試建立該檔案 (以及其父目錄,如有必要)。如果檔案確實存在,keyring_aws會將檔案中包含的任何加密金鑰讀取至其記憶體快取中。keyring_aws不會將未加密的金鑰快取在記憶體中。預設檔案名稱為
keyring_aws_data,位於預設的 keyring 檔案目錄中。 -
命令列格式 --keyring-aws-region=值系統變數 keyring_aws_region範圍 全域 動態 是 SET_VAR提示語適用否 類型 列舉 預設值 us-east-1有效值 af-south-1ap-east-1ap-northeast-1ap-northeast-2ap-northeast-3ap-south-1ap-southeast-1ap-southeast-2ca-central-1cn-north-1cn-northwest-1eu-central-1eu-north-1eu-south-1eu-west-1eu-west-2eu-west-3me-south-1sa-east-1us-east-1us-east-2us-gov-east-1us-iso-east-1us-iso-west-1us-isob-east-1us-west-1us-west-2用於
keyring_aws外掛程式的 AWS 區域。除非已安裝該外掛程式,否則此變數不可用。 -
命令列格式 --keyring-hashicorp-auth-path=值系統變數 keyring_hashicorp_auth_path範圍 全域 動態 是 SET_VAR提示語適用否 類型 字串 預設值 /v1/auth/approle/login在 HashiCorp Vault 伺服器中啟用 AppRole 驗證的驗證路徑,供
keyring_hashicorp外掛程式使用。除非已安裝該外掛程式,否則此變數不可用。 -
命令列格式 --keyring-hashicorp-ca-path=檔案名稱系統變數 keyring_hashicorp_ca_path範圍 全域 動態 是 SET_VAR提示語適用否 類型 檔案名稱 預設值 空字串MySQL 伺服器可存取的本機檔案絕對路徑名稱,其中包含格式正確的 TLS 憑證授權單位,供
keyring_hashicorp外掛程式使用。除非已安裝該外掛程式,否則此變數不可用。如果未設定此變數,
keyring_hashicorp外掛程式將開啟 HTTPS 連線,而不使用伺服器憑證驗證,並信任 HashiCorp Vault 伺服器傳送的任何憑證。為了確保安全,必須假設 Vault 伺服器不是惡意的,並且不可能發生中間人攻擊。如果這些假設無效,請將keyring_hashicorp_ca_path設定為信任的 CA 憑證路徑。(例如,對於 憑證和金鑰準備 中的說明,這是company.crt檔案。) -
命令列格式 --keyring-hashicorp-caching[={OFF|ON}]系統變數 keyring_hashicorp_caching範圍 全域 動態 是 SET_VAR提示語適用否 類型 布林值 預設值 OFF是否啟用
keyring_hashicorp外掛程式使用的可選記憶體內金鑰快取,以快取來自 HashiCorp Vault 伺服器的金鑰。除非已安裝該外掛程式,否則此變數不可用。如果啟用快取,外掛程式會在初始化期間填入快取。否則,外掛程式只會在初始化期間填入金鑰清單。啟用快取是一種折衷方案:它可以提高效能,但會在記憶體中維護敏感金鑰資訊的副本,這可能不利於安全性。
keyring_hashicorp_commit_auth_path系統變數 keyring_hashicorp_commit_auth_path範圍 全域 動態 否 SET_VAR提示語適用否 類型 字串 此變數與
keyring_hashicorp_auth_path相關聯,它在keyring_hashicorp外掛程式初始化期間從該變數取得其值。除非已安裝該外掛程式,否則此變數不可用。它反映了如果初始化成功,實際用於外掛程式操作的「已提交」值。如需其他資訊,請參閱keyring_hashicorp 設定。keyring_hashicorp_commit_ca_path系統變數 keyring_hashicorp_commit_ca_path範圍 全域 動態 否 SET_VAR提示語適用否 類型 字串 此變數與
keyring_hashicorp_ca_path相關聯,它在keyring_hashicorp外掛程式初始化期間從該變數取得其值。除非已安裝該外掛程式,否則此變數不可用。它反映了如果初始化成功,實際用於外掛程式操作的「已提交」值。如需其他資訊,請參閱keyring_hashicorp 設定。keyring_hashicorp_commit_caching系統變數 keyring_hashicorp_commit_caching範圍 全域 動態 否 SET_VAR提示語適用否 類型 字串 此變數與
keyring_hashicorp_caching相關聯,它在keyring_hashicorp外掛程式初始化期間從該變數取得其值。除非已安裝該外掛程式,否則此變數不可用。它反映了如果初始化成功,實際用於外掛程式操作的「已提交」值。如需其他資訊,請參閱keyring_hashicorp 設定。keyring_hashicorp_commit_role_id系統變數 keyring_hashicorp_commit_role_id範圍 全域 動態 否 SET_VAR提示語適用否 類型 字串 此變數與
keyring_hashicorp_role_id相關聯,它在keyring_hashicorp外掛程式初始化期間從該變數取得其值。除非已安裝該外掛程式,否則此變數不可用。它反映了如果初始化成功,實際用於外掛程式操作的「已提交」值。如需其他資訊,請參閱keyring_hashicorp 設定。keyring_hashicorp_commit_server_url系統變數 keyring_hashicorp_commit_server_url範圍 全域 動態 否 SET_VAR提示語適用否 類型 字串 此變數與
keyring_hashicorp_server_url相關聯,它在keyring_hashicorp外掛程式初始化期間從該變數取得其值。除非已安裝該外掛程式,否則此變數不可用。它反映了如果初始化成功,實際用於外掛程式操作的「已提交」值。如需其他資訊,請參閱keyring_hashicorp 設定。keyring_hashicorp_commit_store_path系統變數 keyring_hashicorp_commit_store_path範圍 全域 動態 否 SET_VAR提示語適用否 類型 字串 此變數與
keyring_hashicorp_store_path相關聯,它在keyring_hashicorp外掛程式初始化期間從該變數取得其值。除非已安裝該外掛程式,否則此變數不可用。它反映了如果初始化成功,實際用於外掛程式操作的「已提交」值。如需其他資訊,請參閱keyring_hashicorp 設定。-
命令列格式 --keyring-hashicorp-role-id=值系統變數 keyring_hashicorp_role_id範圍 全域 動態 是 SET_VAR提示語適用否 類型 字串 預設值 空字串HashiCorp Vault AppRole 驗證角色 ID,供
keyring_hashicorp外掛程式使用。除非已安裝該外掛程式,否則此變數不可用。值必須為 UUID 格式。此變數為必要變數。如果未指定,
keyring_hashicorp初始化會失敗。 -
命令列格式 --keyring-hashicorp-secret-id=值系統變數 keyring_hashicorp_secret_id範圍 全域 動態 是 SET_VAR提示語適用否 類型 字串 預設值 空字串HashiCorp Vault AppRole 驗證祕密 ID,供
keyring_hashicorp外掛程式使用。除非已安裝該外掛程式,否則此變數不可用。值必須為 UUID 格式。此變數為必要變數。如果未指定,
keyring_hashicorp初始化會失敗。此變數的值很敏感,因此顯示時其值會以
*字元遮罩。 -
命令列格式 --keyring-hashicorp-server-url=值系統變數 keyring_hashicorp_server_url範圍 全域 動態 是 SET_VAR提示語適用否 類型 字串 預設值 https://127.0.0.1:8200HashiCorp Vault 伺服器 URL,供
keyring_hashicorp外掛程式使用。除非已安裝該外掛程式,否則此變數不可用。值必須以https://開頭。 -
命令列格式 --keyring-hashicorp-store-path=值系統變數 keyring_hashicorp_store_path範圍 全域 動態 是 SET_VAR提示語適用否 類型 字串 預設值 空字串HashiCorp Vault 伺服器中的儲存路徑,當
keyring_hashicorp外掛程式提供適當的 AppRole 認證時,此路徑可寫入。除非已安裝該外掛程式,否則此變數不可用。若要指定認證,請設定keyring_hashicorp_role_id和keyring_hashicorp_secret_id系統變數(例如,如keyring_hashicorp 設定中所示)。此變數為必要變數。如果未指定,
keyring_hashicorp初始化會失敗。 -
命令列格式 --keyring-okv-conf-dir=目錄名稱系統變數 keyring_okv_conf_dir範圍 全域 動態 是 SET_VAR提示語適用否 類型 目錄名稱 預設值 空字串儲存
keyring_okv外掛程式所使用之組態資訊的目錄路徑名稱。除非已安裝該外掛程式,否則此變數不可用。該位置應是僅考慮供keyring_okv外掛程式使用的目錄。例如,請勿將目錄放置在資料目錄下。預設的
keyring_okv_conf_dir值為空。為了使keyring_okv外掛程式能夠存取 Oracle Key Vault,必須將值設定為包含 Oracle Key Vault 組態和 SSL 材料的目錄。如需設定此目錄的說明,請參閱第 8.4.4.6 節,「使用 keyring_okv KMIP 外掛程式」。該目錄應具有限制模式,且僅限用於執行 MySQL 伺服器的帳戶存取。例如,在 Unix 和類 Unix 系統上,若要使用
/usr/local/mysql/mysql-keyring-okv目錄,以下命令(以root身份執行)會建立該目錄並設定其模式和所有權cd /usr/local/mysql mkdir mysql-keyring-okv chmod 750 mysql-keyring-okv chown mysql mysql-keyring-okv chgrp mysql mysql-keyring-okv如果指派給
keyring_okv_conf_dir的值指定一個不存在的目錄,或不包含可建立連線至 Oracle Key Vault 的組態資訊,keyring_okv會將錯誤訊息寫入錯誤日誌。如果嘗試在執行階段指派給keyring_okv_conf_dir導致錯誤,則變數值和金鑰環操作會保持不變。 -
系統變數 keyring_operations範圍 全域 動態 是 SET_VAR提示語適用否 類型 布林值 預設值 ON是否啟用金鑰環操作。此變數在金鑰遷移操作期間使用。請參閱第 8.4.4.11 節,〈在金鑰環金鑰儲存區之間遷移金鑰〉。修改此變數所需的權限除了
SYSTEM_VARIABLES_ADMIN或已棄用的SUPER權限之外,還需要ENCRYPTION_KEY_ADMIN權限。