Documentation Home
MySQL 8.0 リファレンスマニュアル
Download this Manual
PDF (US Ltr) - 36.1Mb
PDF (A4) - 36.2Mb
HTML Download (TGZ) - 10.0Mb
HTML Download (Zip) - 10.1Mb


このページは機械翻訳したものです。

6.4.4.3 keyring_encrypted_file キーリングプラグインの使用

注記

keyring_encrypted_file プラグインは、商用製品である MySQL Enterprise Edition に含まれている拡張機能です。 商用製品の詳細は、https://www.mysql.com/products/ を参照してください。

keyring_encrypted_file キーリングプラグインは、サーバーホストに対してローカルな暗号化ファイルに鍵リングデータを格納します。

警告

暗号化キー管理用の keyring_encrypted_file プラグインは、規制コンプライアンスソリューションとしては意図されていません。 PCI、FIPS などのセキュリティ標準では、キーボールトまたはハードウェアセキュリティモジュール (HSM) 内の暗号化キーを保護、管理および保護するためにキー管理システムを使用する必要があります。

keyring_encrypted_file プラグインをインストールするには、セクション6.4.4.1「キーリングプラグインのインストール」 にある一般的なキーリングのインストール手順と、ここにある keyring_encrypted_file に固有の構成情報を使用します。

サーバーの起動プロセス中に使用できるようにするには、--early-plugin-load オプションを使用して keyring_encrypted_file をロードする必要があります。 キーリングデータファイルを暗号化するためのパスワードを指定するには、keyring_encrypted_file_password システム変数を設定します。 (パスワードは必須です。サーバーの起動時に指定しない場合、keyring_encrypted_file の初期化は失敗します。) keyring_encrypted_file_data システム変数は、オプションで、keyring_encrypted_file プラグインがデータストレージに使用するファイルの場所を構成します。 デフォルト値はプラットフォーム固有です。 ファイルの場所を明示的に構成するには、起動時に変数値を設定します。 たとえば、サーバー my.cnf ファイルで次の行を使用し、必要に応じてプラットフォームの .so 接尾辞とファイルの場所を調整し、選択したパスワードを置き換えます:

[mysqld]
early-plugin-load=keyring_encrypted_file.so
keyring_encrypted_file_data=/usr/local/mysql/mysql-keyring/keyring-encrypted
keyring_encrypted_file_password=password

示されているように書き込まれると、my.cnf ファイルにはパスワードが格納されるため、パスワードは制限モードであり、MySQL サーバーの実行に使用されるアカウントからのみアクセス可能である必要があります。

キーリング操作はトランザクションです: keyring_encrypted_file プラグインは、書込み操作中にバックアップファイルを使用して、操作が失敗した場合に元のファイルにロールバックできるようにします。 バックアップファイルの名前は、接尾辞が .backupkeyring_encrypted_file_data システム変数の値と同じです。

keyring_encrypted_file プラグインの構成に使用されるシステム変数の詳細は、セクション6.4.4.13「キーリングシステム変数」 を参照してください。

正しい鍵リングストレージファイルが存在する場合にのみ鍵が確実にフラッシュされるように、keyring_encrypted_file は鍵リングの SHA-256 チェックサムをファイルに格納します。 ファイルを更新する前に、プラグインは、予想されるチェックサムが含まれていることを確認します。 また、keyring_encrypted_file では、AES を使用してファイルの内容を暗号化してからファイルに書き込み、ファイルの内容を復号化します。

keyring_encrypted_file プラグインは、標準の MySQL キーリングサービスインタフェースを構成する関数をサポートしています。 これらの関数によって実行されるキーリング操作には、次の 2 つのレベルでアクセスできます:

例 (UDF を使用):

SELECT keyring_key_generate('MyKey', 'AES', 32);
SELECT keyring_key_remove('MyKey');

keyring_encrypted_file で許可されるキータイプの詳細は、セクション6.4.4.8「サポートされているキーリングキーのタイプと長さ」 を参照してください。