8.4.5 The MySQL Keyring

8.4.5 The MySQL Keyring

8.4.5.1 Keyring Components Versus Keyring Plugins 8.4.5.2 Keyring Component Installation 8.4.5.3 Keyring Plugin Installation 8.4.5.4 Using the component_keyring_file File-Based Keyring Component 8.4.5.5 Using the component_keyring_encrypted_file Encrypted File-Based Keyring Component 8.4.5.6 Using the keyring_okv KMIP Plugin 8.4.5.7 Using the component_keyring_kmip KMIP Component 8.4.5.8 Using the keyring_aws Amazon Web Services Keyring Plugin 8.4.5.9 Using the component_keyring_aws AWS Keyring Component 8.4.5.10 Using the HashiCorp Vault Keyring Plugin 8.4.5.11 Using the HashiCorp Vault Keyring Component 8.4.5.12 Using the Oracle Cloud Infrastructure Vault Keyring Component 8.4.5.13 Supported Keyring Key Types and Lengths 8.4.5.14 Migrating Keys Between Keyring Keystores 8.4.5.15 General-Purpose Keyring Key-Management Functions 8.4.5.16 Plugin-Specific Keyring Key-Management Functions 8.4.5.17 Keyring Metadata 8.4.5.18 Keyring Command Options 8.4.5.19 Keyring System Variables

MySQL Server는 키링을 지원하며, 이를 통해 내부 서버 컴포넌트와 플러그인이 민감한 정보를 안전하게 저장해 두었다가 나중에 다시 조회할 수 있습니다. 구현은 다음 요소들로 구성됩니다:

• 백엔드 저장소를 관리하거나 스토리지 백엔드와 통신하는 키링 컴포넌트 및 플러그인. 키링 사용에는 사용 가능한 컴포넌트와 플러그인 중에서 하나를 설치하는 작업이 포함됩니다. 키링 컴포넌트와 플러그인은 모두 키링 데이터를 관리하지만, 구성 방식이 다르고 동작상 차이가 있을 수 있습니다(참조:
  Section 8.4.5.1, “Keyring Components Versus Keyring Plugins”).

다음 키링 컴포넌트를 사용할 수 있습니다:

• component_keyring_file: 서버 호스트의 로컬 파일에 키링 데이터를 저장합니다. MySQL Community Edition 및 MySQL Enterprise Edition 배포판에서 사용할 수 있습니다. 참조:
  Section 8.4.5.4, “Using the component_keyring_file File-Based Keyring Component”.

• component_keyring_encrypted_file: 서버 호스트의 로컬 파일에 암호화되고 패스워드로 보호된 형태로 키링 데이터를 저장합니다. MySQL Enterprise Edition 배포판에서 사용할 수 있습니다. 참조:
  Section 8.4.5.5, “Using the component_keyring_encrypted_file Encrypted File-Based Keyring Component”.

• component_keyring_oci: Oracle Cloud Infrastructure Vault에 키링 데이터를 저장합니다. MySQL Enterprise Edition 배포판에서 사용할 수 있습니다. 참조:
  Section 8.4.5.12, “Using the Oracle Cloud Infrastructure Vault Keyring Component”.

• component_keyring_aws: Amazon Web Services Key Management Service와 통신하여 키를 생성하고, 키 저장에는 로컬 파일을 사용합니다. MySQL Enterprise Edition 배포판에서 사용할 수 있습니다. 참조:
  Section 8.4.5.9, “Using the component_keyring_aws AWS Keyring Component”.

• component_keyring_hashicorp: 백엔드 스토리지를 위해 HashiCorp Vault와 통신합니다. MySQL Enterprise Edition 배포판에서 사용할 수 있습니다. 참조:
  Section 8.4.5.11, “Using the HashiCorp Vault Keyring Component”.

다음 키링 플러그인을 사용할 수 있습니다:

• keyring_okv: Oracle Key Vault 및 Gemalto SafeNet KeySecure Appliance와 같은 KMIP 호환 백엔드 키링 스토리지 제품과 함께 사용하기 위한 KMIP 1.1 플러그인입니다. MySQL Enterprise Edition 배포판에서 사용할 수 있습니다. 참조:
  Section 8.4.5.6, “Using the keyring_okv KMIP Plugin”.

• keyring_aws:
  (Deprecated) Amazon Web Services Key Management Service와 통신하여 키를 생성 및 암호화하며, 키 저장에는 로컬 파일을 사용합니다. MySQL Enterprise Edition 배포판에서 사용할 수 있습니다. 참조:
  Section 8.4.5.8, “Using the keyring_aws Amazon Web Services Keyring Plugin”.

• (Deprecated)
  keyring_hashicorp: 백엔드 스토리지를 위해 HashiCorp Vault와 통신합니다. MySQL Enterprise Edition 배포판에서 사용할 수 있습니다. 참조:
  Section 8.4.5.10, “Using the HashiCorp Vault Keyring Plugin”.

• 키링 키 관리를 위한 키링 서비스 인터페이스. 이 서비스는 두 가지 수준에서 접근할 수 있습니다:

  • SQL 인터페이스: SQL 문에서, Section 8.4.5.15, “General-Purpose Keyring Key-Management Functions”에 설명된 함수를 호출합니다.

  • C 인터페이스: C 언어 코드에서, Section 7.6.8.2, “The Keyring Service”에 설명된 키링 서비스 함수를 호출합니다.

• 키 메타데이터 접근:

  • Performance Schema keyring_keys 테이블은 키링 내 키에 대한 메타데이터를 노출합니다. 키 메타데이터에는 키 ID, 키 소유자, 백엔드 키 ID가 포함됩니다. keyring_keys 테이블은 키 내용과 같은 민감한 키링 데이터를 노출하지 않습니다. 참조:
    Section 29.12.18.2, “The keyring_keys table”.

  • Performance Schema keyring_component_status 테이블은, 설치되어 있을 경우 사용 중인 키링 컴포넌트에 대한 상태 정보를 제공합니다. 참조:
    Section 29.12.18.1, “The keyring_component_status Table”.

• 키 마이그레이션 기능. MySQL은 키스토어 간 키 마이그레이션을 지원하여, DBA가 MySQL 인스톨레이션을 한 키스토어에서 다른 키스토어로 전환할 수 있게 해 줍니다. 참조:
  Section 8.4.5.14, “Migrating Keys Between Keyring Keystores”.

• 키링 플러그인의 구현은 컴포넌트 인프라스트럭처를 사용하도록 개정되었습니다. 이는 플러그인과 컴포넌트 서비스 API 간의 브리지 역할을 하는 빌트인 플러그인 daemon_keyring_proxy_plugin을 사용하여 지원됩니다. 참조:
  Section 7.6.7, “The Keyring Proxy Bridge Plugin”.

주의

암호화 키 관리의 경우, component_keyring_file 및 component_keyring_encrypted_file 컴포넌트는 규제 준수 솔루션을 위한 용도로 설계된 것이 아닙니다. PCI, FIPS 등과 같은 보안 표준은 키 금고 또는 하드웨어 보안 모듈(HSMs)에서 암호화 키를 보호, 관리 및 보안하기 위해 키 관리 시스템의 사용을 요구합니다.

MySQL 내에서 키링 서비스 컨슈머에는 다음이 포함됩니다:

• InnoDB 스토리지 엔진은 테이블스페이스 암호화를 위한 자체 키를 저장하기 위해 키링을 사용합니다. 참조:
  Section 17.13, “InnoDB Data-at-Rest Encryption”.

• MySQL Enterprise Audit는 감사 로그 파일 암호화 패스워드를 저장하기 위해 키링을 사용합니다. 참조:
  Encrypting Audit Log Files.

• 바이너리 로그 및 릴레이 로그 관리는 로그 파일의 키링 기반 암호화를 지원합니다. 로그 파일 암호화가 활성화되면, 키링은 바이너리 로그 파일 및 릴레이 로그 파일에 대한 패스워드를 암호화하는 데 사용되는 키를 저장합니다. 참조:
  Section 19.3.2, “Encrypting Binary Log Files and Relay Log Files”.

• 퍼시스턴트된 민감한 시스템 변수 값들을 복호화하는 파일 키를 복호화하기 위한 마스터 키는 키링에 저장됩니다. 키링 컴포넌트는 MySQL Server 인스턴스에서, 키링 플러그인이 아니라 반드시 활성화되어야 하며, 그래야만 키링 플러그인이 지원하지 않는 기능인 퍼시스턴트 시스템 변수 값들에 대한 안전한 저장을 지원할 수 있습니다. 참조:
  Persisting Sensitive System Variables.

일반적인 키링 설치 지침은
Section 8.4.5.2, “Keyring Component Installation” 및
Section 8.4.5.3, “Keyring Plugin Installation”를 참조하십시오. 특정 키링 컴포넌트 또는 플러그인에 대한 설치 및 구성 정보는 각각을 설명하는 섹션을 참조하십시오.

키링 컴포넌트와 키링 플러그인의 일반적인 비교는
Section 8.4.5.1, “Keyring Components Versus Keyring Plugins”를 참조하십시오.

키링 함수 사용에 대한 정보는
Section 8.4.5.15, “General-Purpose Keyring Key-Management Functions”를 참조하십시오.

Keyring 컴포넌트, 플러그인 및 함수는 키링에 대한 인터페이스를 제공하는 키링 서비스에 접근합니다. 이 서비스에 접근하고 키링 플러그인을 작성하는 방법에 대한 정보는
Section 7.6.8.2, “The Keyring Service” 및
Writing Keyring Plugins을 참조하십시오.