文件首頁
MySQL 9.0 參考手冊
相關文件
MySQL 9.0 版本資訊
下載本手冊
PDF (US Ltr) - 40.0Mb
PDF (A4) - 40.1Mb
Man Pages (TGZ) - 258.2Kb
Man Pages (Zip) - 365.3Kb
Info (Gzip) - 4.0Mb
Info (Zip) - 4.0Mb
MySQL 9.0 參考手冊  /  ...  /  金鑰環系統變數

8.4.4.16 金鑰環系統變數

MySQL 金鑰環外掛程式支援下列系統變數。使用它們來設定金鑰環外掛程式的操作。除非安裝適當的金鑰環外掛程式,否則這些變數不可用(請參閱第 8.4.4.3 節,金鑰環外掛程式安裝)。

  • keyring_aws_cmk_id

    命令列格式 --keyring-aws-cmk-id=值
    系統變數 keyring_aws_cmk_id
    範圍 全域
    動態
    SET_VAR 提示套用
    類型 字串

    從 AWS KMS 伺服器取得並由 keyring_aws 外掛程式使用的 KMS 金鑰 ID。除非安裝該外掛程式,否則此變數不可用。

    此變數為必要項目。如果未指定,keyring_aws 初始化將會失敗。

  • keyring_aws_conf_file

    命令列格式 --keyring-aws-conf-file=檔案名稱
    系統變數 keyring_aws_conf_file
    範圍 全域
    動態
    SET_VAR 提示套用
    類型 檔案名稱
    預設值 平台特定

    keyring_aws 外掛程式的設定檔位置。除非安裝該外掛程式,否則此變數不可用。

    在外掛程式啟動時,keyring_aws 會從設定檔讀取 AWS 秘密存取金鑰 ID 和金鑰。為了讓 keyring_aws 外掛程式成功啟動,設定檔必須存在,並包含有效的秘密存取金鑰資訊,依照第 8.4.4.7 節,「使用 keyring_aws Amazon Web Services 金鑰環外掛程式」中所述的方式初始化。

    預設檔案名稱為 keyring_aws_conf,位於預設金鑰環檔案目錄中。

  • keyring_aws_data_file

    命令列格式 --keyring-aws-data-file
    系統變數 keyring_aws_data_file
    範圍 全域
    動態
    SET_VAR 提示套用
    類型 檔案名稱
    預設值 平台特定

    keyring_aws 外掛程式的儲存檔案位置。除非安裝該外掛程式,否則此變數不可用。

    在外掛程式啟動時,如果指派給 keyring_aws_data_file 的值指定不存在的檔案,則 keyring_aws 外掛程式會嘗試建立它(以及其父目錄,如有需要)。如果檔案存在,keyring_aws 會將檔案中包含的任何加密金鑰讀取到其記憶體快取中。keyring_aws 不會將未加密的金鑰快取在記憶體中。

    預設檔案名稱為 keyring_aws_data,位於預設金鑰環檔案目錄中。

  • keyring_aws_region

    命令列格式 --keyring-aws-region=值
    系統變數 keyring_aws_region
    範圍 全域
    動態
    SET_VAR 提示套用
    類型 列舉
    預設值 us-east-1
    有效值

    af-south-1

    ap-east-1

    ap-northeast-1

    ap-northeast-2

    ap-northeast-3

    ap-south-1

    ap-southeast-1

    ap-southeast-2

    ca-central-1

    cn-north-1

    cn-northwest-1

    eu-central-1

    eu-north-1

    eu-south-1

    eu-west-1

    eu-west-2

    eu-west-3

    me-south-1

    sa-east-1

    us-east-1

    us-east-2

    us-gov-east-1

    us-iso-east-1

    us-iso-west-1

    us-isob-east-1

    us-west-1

    us-west-2

    用於 keyring_aws 外掛程式的 AWS 區域。除非已安裝該外掛程式,否則此變數不可用。

  • keyring_hashicorp_auth_path

    命令列格式 --keyring-hashicorp-auth-path=value
    系統變數 keyring_hashicorp_auth_path
    範圍 全域
    動態
    SET_VAR 提示套用
    類型 字串
    預設值 /v1/auth/approle/login

    在 HashiCorp Vault 伺服器中啟用 AppRole 身份驗證的身份驗證路徑,供 keyring_hashicorp 外掛程式使用。除非已安裝該外掛程式,否則此變數不可用。

  • keyring_hashicorp_ca_path

    命令列格式 --keyring-hashicorp-ca-path=file_name
    系統變數 keyring_hashicorp_ca_path
    範圍 全域
    動態
    SET_VAR 提示套用
    類型 檔案名稱
    預設值 空字串

    MySQL 伺服器可存取的本機檔案的絕對路徑名稱,其中包含 keyring_hashicorp 外掛程式使用的格式正確的 TLS 憑證授權單位。除非已安裝該外掛程式,否則此變數不可用。

    如果未設定此變數,則 keyring_hashicorp 外掛程式會開啟 HTTPS 連線而不使用伺服器憑證驗證,並信任 HashiCorp Vault 伺服器傳送的任何憑證。為了確保安全,必須假設 Vault 伺服器不是惡意的,並且不可能發生中間人攻擊。如果這些假設無效,請將 keyring_hashicorp_ca_path 設定為受信任的 CA 憑證的路徑。(例如,對於憑證和金鑰準備中的說明,這是 company.crt 檔案。)

  • keyring_hashicorp_caching

    命令列格式 --keyring-hashicorp-caching[={OFF|ON}]
    系統變數 keyring_hashicorp_caching
    範圍 全域
    動態
    SET_VAR 提示套用
    類型 布林值
    預設值 OFF

    是否啟用 keyring_hashicorp 外掛程式使用的選用記憶體內金鑰快取,以快取來自 HashiCorp Vault 伺服器的金鑰。除非已安裝該外掛程式,否則此變數不可用。如果啟用快取,外掛程式會在初始化期間填入快取。否則,外掛程式只會在初始化期間填入金鑰清單。

    啟用快取是一種折衷方案:它可以提高效能,但在記憶體中保留敏感金鑰資訊的副本,這可能不利於安全性。

  • keyring_hashicorp_commit_auth_path

    系統變數 keyring_hashicorp_commit_auth_path
    範圍 全域
    動態
    SET_VAR 提示套用
    類型 字串

    此變數與 keyring_hashicorp_auth_path 相關聯,它在 keyring_hashicorp 外掛程式初始化期間從該變數取得其值。除非已安裝該外掛程式,否則此變數不可用。如果初始化成功,它會反映實際用於外掛程式操作的「已提交」值。如需其他資訊,請參閱 keyring_hashicorp 設定

  • keyring_hashicorp_commit_ca_path

    系統變數 keyring_hashicorp_commit_ca_path
    範圍 全域
    動態
    SET_VAR 提示套用
    類型 字串

    此變數與 keyring_hashicorp_ca_path 相關聯,它在 keyring_hashicorp 外掛程式初始化期間從該變數取得其值。除非已安裝該外掛程式,否則此變數不可用。如果初始化成功,它會反映實際用於外掛程式操作的「已提交」值。如需其他資訊,請參閱 keyring_hashicorp 設定

  • keyring_hashicorp_commit_caching

    系統變數 keyring_hashicorp_commit_caching
    範圍 全域
    動態
    SET_VAR 提示套用
    類型 字串

    此變數與 keyring_hashicorp_caching 相關聯,它在 keyring_hashicorp 外掛程式初始化期間從該變數取得其值。除非已安裝該外掛程式,否則此變數不可用。如果初始化成功,它會反映實際用於外掛程式操作的「已提交」值。如需其他資訊,請參閱 keyring_hashicorp 設定

  • keyring_hashicorp_commit_role_id

    系統變數 keyring_hashicorp_commit_role_id
    範圍 全域
    動態
    SET_VAR 提示套用
    類型 字串

    此變數與 keyring_hashicorp_role_id 相關聯,它在 keyring_hashicorp 外掛程式初始化期間從該變數取得其值。除非已安裝該外掛程式,否則此變數不可用。如果初始化成功,它會反映實際用於外掛程式操作的「已提交」值。如需其他資訊,請參閱 keyring_hashicorp 設定

  • keyring_hashicorp_commit_server_url

    系統變數 keyring_hashicorp_commit_server_url
    範圍 全域
    動態
    SET_VAR 提示套用
    類型 字串

    此變數與 keyring_hashicorp_server_url 相關聯,它在 keyring_hashicorp 外掛程式初始化期間從該變數取得其值。除非已安裝該外掛程式,否則此變數不可用。如果初始化成功,它會反映實際用於外掛程式操作的「已提交」值。如需其他資訊,請參閱 keyring_hashicorp 設定

  • keyring_hashicorp_commit_store_path

    系統變數 keyring_hashicorp_commit_store_path
    範圍 全域
    動態
    SET_VAR 提示套用
    類型 字串

    此變數與 keyring_hashicorp_store_path 相關聯,它在 keyring_hashicorp 外掛程式初始化期間從該變數取得其值。除非已安裝該外掛程式,否則此變數不可用。如果初始化成功,它會反映實際用於外掛程式操作的「已提交」值。如需其他資訊,請參閱 keyring_hashicorp 設定

  • keyring_hashicorp_role_id

    命令列格式 --keyring-hashicorp-role-id=value
    系統變數 keyring_hashicorp_role_id
    範圍 全域
    動態
    SET_VAR 提示套用
    類型 字串
    預設值 空字串

    HashiCorp Vault AppRole 身份驗證角色 ID,供 keyring_hashicorp 外掛程式使用。除非已安裝該外掛程式,否則此變數不可用。值必須為 UUID 格式。

    此變數為必要項目。如果未指定,keyring_hashicorp 初始化會失敗。

  • keyring_hashicorp_secret_id

    命令列格式 --keyring-hashicorp-secret-id=value
    系統變數 keyring_hashicorp_secret_id
    範圍 全域
    動態
    SET_VAR 提示套用
    類型 字串
    預設值 空字串

    HashiCorp Vault AppRole 身份驗證機密 ID,供 keyring_hashicorp 外掛程式使用。除非已安裝該外掛程式,否則此變數不可用。值必須為 UUID 格式。

    此變數為必要項目。如果未指定,keyring_hashicorp 初始化會失敗。

    此變數的值很敏感,因此當顯示時,其值會以 * 字元遮罩。

  • keyring_hashicorp_server_url

    命令列格式 --keyring-hashicorp-server-url=value
    系統變數 keyring_hashicorp_server_url
    範圍 全域
    動態
    SET_VAR 提示套用
    類型 字串
    預設值 https://127.0.0.1:8200

    HashiCorp Vault 伺服器 URL,供 keyring_hashicorp 外掛程式使用。除非已安裝該外掛程式,否則此變數不可用。值必須以 https:// 開頭。

  • keyring_hashicorp_store_path

    命令列格式 --keyring-hashicorp-store-path=value
    系統變數 keyring_hashicorp_store_path
    範圍 全域
    動態
    SET_VAR 提示套用
    類型 字串
    預設值 空字串

    HashiCorp Vault 伺服器中的儲存路徑,當 keyring_hashicorp 外掛程式提供適當的 AppRole 認證時,該路徑可寫入。除非已安裝該外掛程式,否則此變數不可用。若要指定認證,請設定 keyring_hashicorp_role_idkeyring_hashicorp_secret_id 系統變數(例如,如keyring_hashicorp 設定中所示)。

    此變數為必要項目。如果未指定,keyring_hashicorp 初始化會失敗。

  • keyring_okv_conf_dir

    命令列格式 --keyring-okv-conf-dir=dir_name
    系統變數 keyring_okv_conf_dir
    範圍 全域
    動態
    SET_VAR 提示套用
    類型 目錄名稱
    預設值 空字串

    儲存 keyring_okv 外掛程式使用的組態資訊的目錄路徑名稱。除非已安裝該外掛程式,否則此變數不可用。該位置應為僅供 keyring_okv 外掛程式使用的目錄。例如,不要將目錄放置在資料目錄下。

    預設的 keyring_okv_conf_dir 值為空。為了讓 keyring_okv 外掛程式能夠存取 Oracle Key Vault,必須將該值設定為包含 Oracle Key Vault 組態和 SSL 材料的目錄。如需設定此目錄的說明,請參閱第 8.4.4.6 節,「使用 keyring_okv KMIP 外掛程式」

    目錄應具有限制模式,且只能由用來執行 MySQL 伺服器的帳戶存取。例如,在 Unix 和類 Unix 系統上,若要使用 /usr/local/mysql/mysql-keyring-okv 目錄,下列命令 (以 root 執行) 會建立目錄並設定其模式和所有權

    cd /usr/local/mysql
mkdir mysql-keyring-okv
chmod 750 mysql-keyring-okv
chown mysql mysql-keyring-okv
chgrp mysql mysql-keyring-okv

    如果指派給 keyring_okv_conf_dir 的值指定不存在的目錄,或不包含可建立與 Oracle Key Vault 連線的組態資訊,則 keyring_okv 會將錯誤訊息寫入錯誤日誌。如果嘗試在執行階段指派給 keyring_okv_conf_dir 而導致錯誤,則變數值和金鑰環操作會保持不變。

  • keyring_operations

    系統變數 keyring_operations
    範圍 全域
    動態
    SET_VAR 提示套用
    類型 布林值
    預設值 ON

    是否啟用金鑰環操作。此變數用於金鑰移轉操作期間。請參閱第 8.4.4.11 節,「在金鑰環金鑰儲存區之間移轉金鑰」。修改此變數所需的權限除了ENCRYPTION_KEY_ADMIN 之外,還需要SYSTEM_VARIABLES_ADMIN 或已棄用的SUPER 權限。


上一頁   首頁   上一層   下一頁
相關文件
MySQL 9.0 版本資訊
下載本手冊
PDF (US Ltr) - 40.0Mb
PDF (A4) - 40.1Mb
Man Pages (TGZ) - 258.2Kb
Man Pages (Zip) - 365.3Kb
Info (Gzip) - 4.0Mb
Info (Zip) - 4.0Mb