Menggunakan Server Percona untuk MySQL dengan Amazon KMS sebagai Keyring

Database


Server Percona untuk MySQL dengan Amazon KMSServer Percona untuk MySQL 8.0.28-20 memperkenalkan komponen kunci baru yang disebut component_keyring_kms yang memungkinkan penggunaan AWS Key Management Service sebagai gantungan kunci. Komponen ini juga disertakan dalam Percona XtraBackup 8.0.28, yang memungkinkan pencadangan database terenkripsi dengan komponen ini.

Fitur ini mirip dengan plugin keyring AWS yang tersedia di MySQL Enterprise, tetapi diimplementasikan sebagai komponen dan karenanya memerlukan konfigurasi yang berbeda.

Konfigurasikan AWS KMS

Komponen ini menggunakan kunci master di KMS yang harus dibuat secara manual sebelum mengkonfigurasi komponen. Kunci ini dapat diubah nanti dan selama kunci tersebut ada di KMS, kunci yang ada menggunakan kunci lama akan tetap dapat digunakan.

Untuk mengonfigurasi KMS, masuk ke AWS Management Console dan luncurkan CMK baru. Kunci ini dapat direferensikan nanti menggunakan UUID, ARN, atau alias dalam konfigurasi komponen. Disarankan menggunakan alias, karena memungkinkan mengubah kunci tanpa mengubah konfigurasi komponen.

Komponen ini juga mengharuskan pengguna untuk diidentifikasi dengan kunci otentikasi dan kunci rahasia untuk mengakses layanan KMS, dan pengguna ini harus memiliki izin untuk menggunakan CMK. Disarankan untuk menggunakan pengguna khusus untuk tujuan ini.

Konfigurasi Server Percona untuk MySQL

Untuk menggunakan komponen KMS dengan Server Percona untuk MySQL, buat file manifes global atau lokal yang mengaktifkan komponen:

Dan kemudian buat file konfigurasi global atau lokal untuk komponen KMS itu sendiri:

Direktori file keyring harus ada, dan kredensial AWS serta ID kunci harus valid dengan parameter yang benar, jika tidak, inisialisasi komponen akan gagal.

File konfigurasi harus diberi nama “component_keyring_kms.cnf”, dan harus ditempatkan di direktori server untuk konfigurasi global, atau di direktori data untuk konfigurasi lokal.

Karena file ini berisi informasi autentikasi untuk pengguna AWS yang ditentukan, pengguna harus memiliki izin minimum yang diperlukan dan file harus hanya dapat dibaca oleh pengguna MySQL.

Setelah file-file ini ada dan dikonfigurasi dengan benar, server akan mulai dengan komponen KMS dimuat dan siap digunakan. Fitur enkripsi dapat diaktifkan secara individual satu per satu.

Keamanan data

Komponen KMS bekerja mirip dengan component_keyring_file: komponen ini menyimpan kunci enkripsi MySQL dalam sebuah file, yang ditentukan oleh nilai jalur dalam file konfigurasinya. Perbedaan antara kedua komponen ini adalah bahwa alih-alih menyimpan kunci sebagai teks biasa dalam file, kunci dienkripsi menggunakan layanan KMS. Ini berarti direktori data dan file data kunci tidak cukup untuk mendekripsi database, akses ke layanan KMS juga diperlukan.





Source link

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *