PDF (US Ltr)
- 36.1Mb
PDF (A4)
- 36.2Mb
このページは機械翻訳したものです。
- 6.4.4.1 キーリングプラグインのインストール
- 6.4.4.2 keyring_file ファイルベースプラグインの使用
- 6.4.4.3 keyring_encrypted_file キーリングプラグインの使用
- 6.4.4.4 keyring_okv KMIP プラグインの使用
- 6.4.4.5 keyring_aws Amazon Web Services キーリングプラグインの使用
- 6.4.4.6 HashiCorp Vault キーリングプラグインの使用
- 6.4.4.7 Oracle Cloud Infrastructure Vault キーリングプラグインの使用
- 6.4.4.8 サポートされているキーリングキーのタイプと長さ
- 6.4.4.9 キーリングキーストア間のキーの移行
- 6.4.4.10 汎用キーリングキー管理関数
- 6.4.4.11 プラグイン固有のキーリングキー管理関数
- 6.4.4.12 キーリングコマンドのオプション
- 6.4.4.13 キーリングシステム変数
MySQL Server は、内部サーバーコンポーネントおよびプラグインが機密情報を安全に格納して後で取得できるようにするキーリングをサポートしています。 実装は、次の要素で構成されます:
-
バッキングストアを管理したり、ストレージバックエンドと通信したりするキーリングプラグイン。 次のキーリングプラグインを使用できます:
keyring_fileは、キーリングデータをサーバーホストのローカルファイルに格納します。 このプラグインは、MySQL Community Edition および MySQL Enterprise Edition のディストリビューションで使用できます。 セクション6.4.4.2「keyring_file ファイルベースプラグインの使用」を参照してください。keyring_encrypted_fileは、サーバーホストに対してローカルな暗号化されたファイルにキーリングデータを格納します。 このプラグインは、MySQL Enterprise Edition ディストリビューションで使用できます。 セクション6.4.4.3「keyring_encrypted_file キーリングプラグインの使用」を参照してください。keyring_okvは、Oracle Key Vault や Gemalto SafeNet KeySecure Appliance などの KMIP 互換のバックエンドキーリングストレージ製品で使用する KMIP 1.1 プラグインです。 このプラグインは、MySQL Enterprise Edition ディストリビューションで使用できます。 セクション6.4.4.4「keyring_okv KMIP プラグインの使用」を参照してください。keyring_awsは、キーの生成のために Amazon Web Services Key Management Service と通信し、キーの格納にローカルファイルを使用します。 このプラグインは、MySQL Enterprise Edition ディストリビューションで使用できます。 セクション6.4.4.5「keyring_aws Amazon Web Services キーリングプラグインの使用」を参照してください。keyring_hashicorpは、バックエンドストレージのために HashiCorp Vault と通信します。 このプラグインは、MySQL 8.0.18 の時点の MySQL Enterprise Edition ディストリビューションで使用できます。 セクション6.4.4.6「HashiCorp Vault キーリングプラグインの使用」を参照してください。keyring_ociは、バックエンドストレージのために Oracle Cloud Infrastructure Vault と通信します。 このプラグインは、MySQL 8.0.22 の時点の MySQL Enterprise Edition ディストリビューションで使用できます。 セクション6.4.4.7「Oracle Cloud Infrastructure Vault キーリングプラグインの使用」を参照してください。
主要な移行機能。 MySQL サーバーの操作モードでは、基礎となるキーリングキーストア間でキーを移行できるため、DBA は MySQL インストールをあるキーリングプラグインから別のキーリングプラグインに切り替えることができます。 セクション6.4.4.9「キーリングキーストア間のキーの移行」を参照してください。
-
鍵リング鍵管理用の鍵リングサービスインタフェース。次の 2 つのレベルでアクセスできます:
SQL インタフェース: SQL ステートメントで、セクション6.4.4.10「汎用キーリングキー管理関数」 で説明されているユーザー定義関数 (UDF) をコールします。
C インタフェース: C 言語コードでは、セクション5.6.8.2「キーリングサービス」 で説明されているキーリングサービス関数をコールします。
-
キーメタデータアクセス。 MySQL 8.0.16 以降では、パフォーマンススキーマ
keyring_keysテーブルは鍵リング内の鍵のメタデータを公開します。 キーメタデータには、キー ID、キー所有者およびバックエンドキー ID が含まれます。keyring_keysテーブルでは、キーの内容などの機密キーリングデータは公開されません。 セクション27.12.19.6「keyring_keys テーブル」を参照してください。
警告
暗号化キー管理用の keyring_file および keyring_encrypted_file プラグインは、規制コンプライアンスソリューションとしては意図されていません。 PCI、FIPS などのセキュリティ標準では、キーボールトまたはハードウェアセキュリティモジュール (HSM) 内の暗号化キーを保護、管理および保護するためにキー管理システムを使用する必要があります。
MySQL 内では、キーリングの使用方法は次のとおりです:
InnoDBストレージエンジンは、鍵リングを使用して、テーブルスペース暗号化用の鍵を格納します。InnoDBは、サポートされている任意のキーリングプラグインを使用できます。 セクション15.13「InnoDB 保存データ暗号化」を参照してください。MySQL Enterprise Audit では、キーリングを使用して監査ログファイルの暗号化パスワードを格納します。 監査ログプラグインは、サポートされている任意のキーリングプラグインを使用できます。 監査ログファイルの暗号化を参照してください。
バイナリログとリレーログの管理では、ログファイルの鍵リングベースの暗号化がサポートされています。 ログファイルの暗号化を有効にすると、バイナリログファイルとリレーログファイルのパスワードを暗号化するために使用される鍵が鍵リングに格納されます。 この機能では、サポートされている任意のキーリングプラグインを使用できます。 セクション17.3.2「バイナリログファイルとリレーログファイルの暗号化」を参照してください。
鍵リングの一般的なインストール手順については、セクション6.4.4.1「キーリングプラグインのインストール」 を参照してください。 特定のキーリングプラグインに固有のインストールおよび構成情報については、そのプラグインについて説明しているセクションを参照してください。
キーリング UDF の使用の詳細は、セクション6.4.4.10「汎用キーリングキー管理関数」 を参照してください。
キープラグインおよび UDF は、キーリングへのコンポーネントのインタフェースを提供するキーリングサービスにアクセスします。 キーリングプラグインサービスへのアクセスおよびキーリングプラグインの記述については、セクション5.6.8.2「キーリングサービス」 および Writing Keyring Plugins を参照してください。