keyring_aws_cmk_id

AWS KMS サーバーから取得され、keyring_aws プラグインで使用される顧客マスターキー (CMK) ID。 この変数は、そのプラグインがインストールされないかぎり利用できません。

この変数は必須です。 指定しない場合、keyring_aws の初期化は失敗します。

keyring_aws_conf_file

keyring_aws プラグインの構成ファイルの場所。 この変数は、そのプラグインがインストールされないかぎり利用できません。

プラグインの起動時に、keyring_aws は AWS 秘密アクセスキー ID およびキーを構成ファイルから読み取ります。 keyring_aws プラグインを正常に起動するには、構成ファイルが存在し、セクション6.4.4.5「keyring_aws Amazon Web Services キーリングプラグインの使用」 の説明に従って初期化された有効な秘密アクセスキー情報が含まれている必要があります。

デフォルトのファイル名は keyring_aws_conf で、デフォルトのキーリングファイルディレクトリにあります。 このデフォルトディレクトリの場所は、keyring_file_data システム変数の場所と同じです。 ディレクトリを手動で作成する場合に考慮する必要がある考慮事項の詳細は、その変数の説明を参照してください。

keyring_aws_data_file

keyring_aws プラグインのストレージファイルの場所。 この変数は、そのプラグインがインストールされないかぎり利用できません。

プラグインの起動時に、keyring_aws_data_file に割り当てられた値で存在しないファイルが指定された場合、keyring_aws プラグインはそれを (必要に応じて親ディレクトリとともに) 作成しようとします。 ファイルが存在する場合、keyring_aws はファイルに含まれている暗号化キーをメモリー内キャッシュに読み取ります。keyring_aws では、暗号化されていないキーはメモリーにキャッシュされません。

デフォルトのファイル名は keyring_aws_data で、デフォルトのキーリングファイルディレクトリにあります。 このデフォルトディレクトリの場所は、keyring_file_data システム変数の場所と同じです。 ディレクトリを手動で作成する場合に考慮する必要がある考慮事項の詳細は、その変数の説明を参照してください。

keyring_aws_region

keyring_aws プラグインの AWS リージョン。 この変数は、そのプラグインがインストールされないかぎり利用できません。

keyring_encrypted_file_data

keyring_encrypted_file プラグインによってセキュアなデータ記憶域に使用されるデータファイルのパス名。 この変数は、そのプラグインがインストールされないかぎり利用できません。 ファイルの場所は、キーリングプラグインによってのみ使用されると見なされるディレクトリ内にある必要があります。 たとえば、データディレクトリの下にファイルを配置しないでください。

キーリング操作はトランザクションです: keyring_encrypted_file プラグインは、書込み操作中にバックアップファイルを使用して、操作が失敗した場合に元のファイルにロールバックできるようにします。 バックアップファイルの名前は、接尾辞が .backup の keyring_encrypted_file_data システム変数の値と同じです。

複数の MySQL インスタンスに同じ keyring_encrypted_file データファイルを使用しないでください。 各インスタンスには、独自の一意のデータファイルが必要です。

次のテーブルに示すように、デフォルトのファイル名は keyring_encrypted で、プラットフォーム固有のディレクトリにあり、INSTALL_LAYOUT CMake オプションの値によって異なります。 ソースからビルドする場合にファイルのデフォルトディレクトリを明示的に指定するには、INSTALL_MYSQLKEYRINGDIR CMake オプションを使用します。

プラグインの起動時に、keyring_encrypted_file_data に割り当てられた値で存在しないファイルが指定された場合、keyring_encrypted_file プラグインはそれを (必要に応じて親ディレクトリとともに) 作成しようとします。

ディレクトリを手動で作成する場合は、制限モードであり、MySQL サーバーの実行に使用されるアカウントからのみアクセスできる必要があります。 たとえば、Unix および Unix に似たシステムで/usr/local/mysql/mysql-keyring ディレクトリを使用するには、次のコマンド (root として実行) を実行してディレクトリを作成し、そのモードと所有権を設定します:

cd /usr/local/mysql
mkdir mysql-keyring
chmod 750 mysql-keyring
chown mysql mysql-keyring
chgrp mysql mysql-keyring

keyring_encrypted_file プラグインは、データファイルを作成またはアクセスできない場合、エラーログにエラーメッセージを書き込みます。 keyring_encrypted_file_data への実行時割当てが試行されてもエラーが発生した場合、変数値は変更されません。

keyring_encrypted_file_password

keyring_encrypted_file プラグインで使用されるパスワード。 この変数は、そのプラグインがインストールされないかぎり利用できません。

この変数は必須です。 指定しない場合、keyring_encrypted_file の初期化は失敗します。

この変数がオプションファイルで指定されている場合、ファイルは制限モードであり、MySQL サーバーの実行に使用されるアカウントからのみアクセスできる必要があります。

表示値が不明瞭化されているため、SHOW VARIABLES またはパフォーマンススキーマ global_variables テーブルでは実行時にパスワード値を表示できません。

keyring_file_data

keyring_file プラグインによってセキュアなデータ記憶域に使用されるデータファイルのパス名。 この変数は、そのプラグインがインストールされないかぎり利用できません。 ファイルの場所は、キーリングプラグインによってのみ使用されると見なされるディレクトリ内にある必要があります。 たとえば、データディレクトリの下にファイルを配置しないでください。

キーリング操作はトランザクションです: keyring_file プラグインは、書込み操作中にバックアップファイルを使用して、操作が失敗した場合に元のファイルにロールバックできるようにします。 バックアップファイルの名前は、接尾辞が .backup の keyring_file_data システム変数の値と同じです。

複数の MySQL インスタンスに同じ keyring_file データファイルを使用しないでください。 各インスタンスには、独自の一意のデータファイルが必要です。

次のテーブルに示すように、デフォルトのファイル名は keyring で、プラットフォーム固有のディレクトリにあり、INSTALL_LAYOUT CMake オプションの値によって異なります。 ソースからビルドする場合にファイルのデフォルトディレクトリを明示的に指定するには、INSTALL_MYSQLKEYRINGDIR CMake オプションを使用します。

プラグインの起動時に、keyring_file_data に割り当てられた値で存在しないファイルが指定された場合、keyring_file プラグインはそれを (必要に応じて親ディレクトリとともに) 作成しようとします。

ディレクトリを手動で作成する場合は、制限モードであり、MySQL サーバーの実行に使用されるアカウントからのみアクセスできる必要があります。 たとえば、Unix および Unix に似たシステムで/usr/local/mysql/mysql-keyring ディレクトリを使用するには、次のコマンド (root として実行) を実行してディレクトリを作成し、そのモードと所有権を設定します:

cd /usr/local/mysql
mkdir mysql-keyring
chmod 750 mysql-keyring
chown mysql mysql-keyring
chgrp mysql mysql-keyring

keyring_file プラグインは、データファイルを作成またはアクセスできない場合、エラーログにエラーメッセージを書き込みます。 keyring_file_data への実行時割当てが試行されてもエラーが発生した場合、変数値は変更されません。

keyring_hashicorp_auth_path

keyring_hashicorp プラグインで使用するために、HashiCorp Vault サーバー内で AppRole 認証が有効になっている認証パス。 この変数は、そのプラグインがインストールされないかぎり利用できません。

keyring_hashicorp_ca_path

keyring_hashicorp プラグインで使用する適切にフォーマットされた TLS 認証局を含む、MySQL サーバーにアクセス可能なローカルファイルの絶対パス名。 この変数は、そのプラグインがインストールされないかぎり利用できません。

この変数が設定されていない場合、keyring_hashicorp プラグインはサーバー証明書の検証を使用せずに HTTPS 接続を開き、HashiCorp Vault サーバーによって配信された証明書を信頼します。 これを安全にするには、Vault サーバが悪意のないものと想定し、中間者攻撃が発生しないようにする必要があります。 これらの仮定が無効な場合は、keyring_hashicorp_ca_path を信頼できる CA 証明書のパスに設定します。 (たとえば、証明書とキーの準備 の手順の場合、これは company.crt ファイルです。)

keyring_hashicorp_caching

keyring_hashicorp プラグインが HashiCorp Vault サーバーからキーをキャッシュするために使用するオプションのインメモリーキーキャッシュを有効にするかどうか。 この変数は、そのプラグインがインストールされないかぎり利用できません。 キャッシュが有効になっている場合、プラグインは初期化中にキャッシュを移入します。 それ以外の場合、プラグインは初期化中にキーリストのみを移入します。

キャッシュの有効化は危険です: パフォーマンスは向上しますが、機密キー情報のコピーはメモリー内に保持されるため、セキュリティ上の目的では望ましくない場合があります。

keyring_hashicorp_commit_auth_path

この変数は、keyring_hashicorp プラグインの初期化時に値を取得する keyring_hashicorp_auth_path に関連付けられています。 この変数は、そのプラグインがインストールされないかぎり利用できません。 これには、初期化が成功した場合にプラグイン操作に実際に使用される 「committed」 値が反映されます。 追加情報については keyring_hashicorp 構成を参照してください。

keyring_hashicorp_commit_ca_path

この変数は、keyring_hashicorp プラグインの初期化時に値を取得する keyring_hashicorp_ca_path に関連付けられています。 この変数は、そのプラグインがインストールされないかぎり利用できません。 これには、初期化が成功した場合にプラグイン操作に実際に使用される 「committed」 値が反映されます。 追加情報については keyring_hashicorp 構成を参照してください。

keyring_hashicorp_commit_caching

この変数は、keyring_hashicorp プラグインの初期化時に値を取得する keyring_hashicorp_caching に関連付けられています。 この変数は、そのプラグインがインストールされないかぎり利用できません。 これには、初期化が成功した場合にプラグイン操作に実際に使用される 「committed」 値が反映されます。 追加情報については keyring_hashicorp 構成を参照してください。

keyring_hashicorp_commit_role_id

この変数は、keyring_hashicorp プラグインの初期化時に値を取得する keyring_hashicorp_role_id に関連付けられています。 この変数は、そのプラグインがインストールされないかぎり利用できません。 これには、初期化が成功した場合にプラグイン操作に実際に使用される 「committed」 値が反映されます。 追加情報については keyring_hashicorp 構成を参照してください。

keyring_hashicorp_commit_server_url

この変数は、keyring_hashicorp プラグインの初期化時に値を取得する keyring_hashicorp_server_url に関連付けられています。 この変数は、そのプラグインがインストールされないかぎり利用できません。 これには、初期化が成功した場合にプラグイン操作に実際に使用される 「committed」 値が反映されます。 追加情報については keyring_hashicorp 構成を参照してください。

keyring_hashicorp_commit_store_path

この変数は、keyring_hashicorp プラグインの初期化時に値を取得する keyring_hashicorp_store_path に関連付けられています。 この変数は、そのプラグインがインストールされないかぎり利用できません。 これには、初期化が成功した場合にプラグイン操作に実際に使用される 「committed」 値が反映されます。 追加情報については keyring_hashicorp 構成を参照してください。

keyring_hashicorp_role_id

keyring_hashicorp プラグインで使用する HashiCorp Vault AppRole 認証ロール ID。 この変数は、そのプラグインがインストールされないかぎり利用できません。 値は UUID 形式である必要があります。

この変数は必須です。 指定しない場合、keyring_hashicorp の初期化は失敗します。

keyring_hashicorp_secret_id

keyring_hashicorp プラグインで使用する HashiCorp Vault AppRole 認証シークレット ID。 この変数は、そのプラグインがインストールされないかぎり利用できません。 値は UUID 形式である必要があります。

この変数は必須です。 指定しない場合、keyring_hashicorp の初期化は失敗します。

この変数の値は機密であるため、その値は表示時に * 文字によってマスクされます。

keyring_hashicorp_server_url

keyring_hashicorp プラグインで使用する HashiCorp Vault サーバーの URL。 この変数は、そのプラグインがインストールされないかぎり利用できません。 値は https://で始まる必要があります。

keyring_hashicorp_store_path

keyring_hashicorp プラグインによって適切な AppRole AppRole 資格証明が提供される場合に書込み可能な HashiCorp Vault サーバー内のストアパス。 この変数は、そのプラグインがインストールされないかぎり利用できません。 資格証明を指定するには、keyring_hashicorp_role_id および keyring_hashicorp_secret_id システム変数を設定します (たとえば、keyring_hashicorp 構成 を参照)。

この変数は必須です。 指定しない場合、keyring_hashicorp の初期化は失敗します。

keyring_oci_ca_certificate

keyring_oci プラグインが Oracle Cloud Infrastructure 証明書の検証に使用する CA 証明書バンドルファイルのパス名。 この変数は、そのプラグインがインストールされないかぎり利用できません。

ファイルにピア検証用の 1 つまたは複数の証明書が含まれています。 ファイルが指定されていない場合、システムにインストールされているデフォルトの CA バンドルが使用されます。 値が disabled の場合 (大/小文字を区別)、keyring_oci は証明書の検証を実行しません。

keyring_oci_compartment

keyring_oci プラグインが MySQL キーの場所として使用するテナンシコンパートメントの OCID。 この変数は、そのプラグインがインストールされないかぎり利用できません。

keyring_oci を使用する前に、MySQL コンパートメントまたはサブコンパートメントが存在しない場合は作成する必要があります。 このコンパートメントにボールトキーまたはボールトシークレットを含めることはできません。 MySQL Keyring 以外のシステムでは使用しないでください。

コンパートメントの管理および OCID の取得の詳細は、「コンパートメントの管理」を参照してください。

この変数は必須です。 指定しない場合、keyring_oci の初期化は失敗します。

keyring_oci_encryption_endpoint

keyring_oci プラグインが新しいキーの暗号文を生成するために使用する Oracle Cloud Infrastructure 暗号化サーバーのエンドポイント。 この変数は、そのプラグインがインストールされないかぎり利用できません。

暗号化エンドポイントはボールト固有であり、Oracle Cloud Infrastructure によってボールト作成時に割り当てられます。 エンドポイント OCID を取得するには、「ボールトの管理」の手順を使用して、keyring_oci ボールトの構成詳細を表示します。

この変数は必須です。 指定しない場合、keyring_oci の初期化は失敗します。

keyring_oci_key_file

keyring_oci プラグインが Oracle Cloud Infrastructure 認証に使用する RSA 秘密キーを含むファイルのパス名。 この変数は、そのプラグインがインストールされないかぎり利用できません。

コンソールを使用して、対応する RSA 公開キーもアップロードする必要があります。 コンソールには、keyring_oci_key_fingerprint システム変数の設定に使用できるキーフィンガープリント値が表示されます。

API キーの生成およびアップロードの詳細は、「必要なキーおよび OCID」を参照してください。

この変数は必須です。 指定しない場合、keyring_oci の初期化は失敗します。

keyring_oci_key_fingerprint

keyring_oci プラグインが Oracle Cloud Infrastructure 認証に使用する RSA 秘密キーのフィンガープリント。 この変数は、そのプラグインがインストールされないかぎり利用できません。

API キーの作成中にキーフィンガープリントを取得するには、次のコマンドを実行します:

openssl rsa -pubout -outform DER -in ~/.oci/oci_api_key.pem | openssl md5 -c

または、RSA 公開キーをアップロードするとフィンガープリントが自動的に表示されるコンソールからフィンガープリントを取得します。

キーフィンガープリントの取得の詳細は、「必要なキーおよび OCID」を参照してください。

この変数は必須です。 指定しない場合、keyring_oci の初期化は失敗します。

keyring_oci_management_endpoint

keyring_oci プラグインが既存のキーをリストするために使用する Oracle Cloud Infrastructure キー管理サーバーのエンドポイント。 この変数は、そのプラグインがインストールされないかぎり利用できません。

キー管理エンドポイントはボールト固有で、Oracle Cloud Infrastructure によってボールト作成時に割り当てられます。 エンドポイント OCID を取得するには、「ボールトの管理」の手順を使用して、keyring_oci ボールトの構成詳細を表示します。

この変数は必須です。 指定しない場合、keyring_oci の初期化は失敗します。

keyring_oci_master_key

keyring_oci プラグインがシークレットの暗号化に使用する Oracle Cloud Infrastructure マスター暗号化キーの OCID。 この変数は、そのプラグインがインストールされないかぎり利用できません。

keyring_oci を使用する前に、Oracle Cloud Infrastructure コンパートメントの暗号化キーを作成する必要があります (存在しない場合)。 生成されたキーの MySQL 固有名を指定し、他の目的には使用しないでください。

キーの作成の詳細は、「キーの管理」を参照してください。

この変数は必須です。 指定しない場合、keyring_oci の初期化は失敗します。

keyring_oci_secrets_endpoint

keyring_oci プラグインがシークレットのリスト、作成およびリタイアに使用する Oracle Cloud Infrastructure シークレットサーバーのエンドポイント。 この変数は、そのプラグインがインストールされないかぎり利用できません。

シークレットのエンドポイントはボールト固有で、Oracle Cloud Infrastructure によってボールト作成時に割り当てられます。 エンドポイント OCID を取得するには、「ボールトの管理」の手順を使用して、keyring_oci ボールトの構成詳細を表示します。

この変数は必須です。 指定しない場合、keyring_oci の初期化は失敗します。

keyring_oci_tenancy

keyring_oci プラグインが MySQL コンパートメントの場所として使用する Oracle Cloud Infrastructure テナンシの OCID。 この変数は、そのプラグインがインストールされないかぎり利用できません。

keyring_oci を使用する前に、テナンシが存在しない場合は作成する必要があります。 コンソールからテナンシ OCID を取得するには、「必要なキーおよび OCID」の手順を使用します。

この変数は必須です。 指定しない場合、keyring_oci の初期化は失敗します。

keyring_oci_user

keyring_oci プラグインがクラウド接続に使用する Oracle Cloud Infrastructure ユーザーの OCID。 この変数は、そのプラグインがインストールされないかぎり利用できません。

keyring_oci を使用する前に、このユーザーが存在し、構成済の Oracle Cloud Infrastructure テナンシ、コンパートメントおよびボールトリソースを使用するためのアクセス権が付与されている必要があります。

コンソールからユーザー OCID を取得するには、「必要なキーおよび OCID」の手順を使用します。

この変数は必須です。 指定しない場合、keyring_oci の初期化は失敗します。

keyring_oci_vaults_endpoint

keyring_oci プラグインがシークレットの値を取得するために使用する Oracle Cloud Infrastructure ボールトサーバーのエンドポイント。 この変数は、そのプラグインがインストールされないかぎり利用できません。

ボールトエンドポイントはボールト固有であり、Oracle Cloud Infrastructure によってボールト作成時に割り当てられます。 エンドポイント OCID を取得するには、「ボールトの管理」の手順を使用して、keyring_oci ボールトの構成詳細を表示します。

この変数は必須です。 指定しない場合、keyring_oci の初期化は失敗します。

keyring_oci_virtual_vault

keyring_oci プラグインが暗号化操作に使用する Oracle Cloud Infrastructure Vault の OCID。 この変数は、そのプラグインがインストールされないかぎり利用できません。

keyring_oci を使用する前に、MySQL コンパートメントに新しいボールトが存在しない場合は作成する必要があります。 (または、MySQL コンパートメントの親コンパートメントにある既存のボールトを再利用できます。) コンパートメントユーザーは、それぞれのコンパートメントのキーのみを表示および使用できます。

ボールトの作成およびボールト OCID の取得の詳細は、「ボールトの管理」を参照してください。

この変数は必須です。 指定しない場合、keyring_oci の初期化は失敗します。

keyring_okv_conf_dir

keyring_okv プラグインで使用される構成情報を格納するディレクトリのパス名。 この変数は、そのプラグインがインストールされないかぎり利用できません。 この場所は、keyring_okv プラグインでのみ使用されるディレクトリである必要があります。 たとえば、データディレクトリの下にディレクトリを配置しないでください。

デフォルトの keyring_okv_conf_dir 値は空です。 keyring_okv プラグインが Oracle Key Vault にアクセスできるようにするには、値を Oracle Key Vault 構成および SSL 材料を含むディレクトリに設定する必要があります。 このディレクトリの設定手順は、セクション6.4.4.4「keyring_okv KMIP プラグインの使用」 を参照してください。

ディレクトリには制限モードがあり、MySQL サーバーの実行に使用されるアカウントからのみアクセスできる必要があります。 たとえば、Unix および Unix に似たシステムで/usr/local/mysql/mysql-keyring-okv ディレクトリを使用するには、次のコマンド (root として実行) を実行してディレクトリを作成し、そのモードと所有権を設定します:

cd /usr/local/mysql
mkdir mysql-keyring-okv
chmod 750 mysql-keyring-okv
chown mysql mysql-keyring-okv
chgrp mysql mysql-keyring-okv

keyring_okv_conf_dir に割り当てられた値で、存在しないディレクトリが指定された場合、または Oracle Key Vault への接続を確立できる構成情報が含まれていない場合、keyring_okv はエラーメッセージをエラーログに書き込みます。 keyring_okv_conf_dir への実行時割当てが試行された結果、エラーが発生した場合、変数値およびキーリング操作は変更されません。

keyring_operations

キーリング操作が有効かどうか。 この変数は、キーの移行操作中に使用されます。 セクション6.4.4.9「キーリングキーストア間のキーの移行」を参照してください。 この変数の変更に必要な権限は、SYSTEM_VARIABLES_ADMIN または非推奨の SUPER 権限に加えて、ENCRYPTION_KEY_ADMIN です。