keyring_aws_cmk_id

从 AWS KMS 服务器获取的 KMS 密钥 ID，用于 keyring_aws 插件。这变量在该插件安装后才可用。

该变量是必需的。如果未指定，keyring_aws 初始化将失败。

keyring_aws_conf_file

用于 keyring_aws 插件的配置文件的位置。这变量在该插件安装后才可用。

在插件启动时，keyring_aws 从配置文件中读取 AWS 私钥 ID 和密钥。为了使 keyring_aws 插件成功启动，配置文件必须存在并包含有效的私钥信息，如 第 8.4.4.9 节，“使用 keyring_aws Amazon Web Services 密钥环插件” 中所述。

默认文件名是 keyring_aws_conf，位于默认密钥环文件目录中。该目录的位置与 keyring_file_data 系统变量相同。请参阅该变量的描述，以了解详细信息，以及手动创建目录时需要考虑的因素。

keyring_aws_data_file

用于 keyring_aws 插件的存储文件的位置。这变量在该插件安装后才可用。

在插件启动时，如果分配给 keyring_aws_data_file 的值指定了一个不存在的文件，keyring_aws 插件将尝试创建它（如果必要，还将创建其父目录）。如果文件已经存在，keyring_aws 将从文件中读取加密密钥到其内存缓存中。keyring_aws 不会在内存中缓存未加密的密钥。

默认文件名是 keyring_aws_data，位于默认密钥环文件目录中。该目录的位置与 keyring_file_data 系统变量相同。请参阅该变量的描述，以了解详细信息，以及手动创建目录时需要考虑的因素。

keyring_aws_region

AWS 区域用于 keyring_aws 插件。此变量仅在插件安装时可用。

keyring_encrypted_file_data

用于安全数据存储的数据文件路径，由 keyring_encrypted_file 插件使用。此变量仅在插件安装时可用。文件位置应位于仅供 keyring 插件使用的目录中。例如，不要将文件位于数据目录下。

Keyring 操作是事务性的：keyring_encrypted_file 插件在写入操作期间使用备份文件，以确保可以在操作失败时回滚到原始文件。备份文件的名称与 keyring_encrypted_file_data 系统变量的值相同，但带有 .backup 后缀。

不要为多个 MySQL 实例使用相同的 keyring_encrypted_file 数据文件。每个实例都应该有其自己的唯一数据文件。

默认文件名是 keyring_encrypted，位于平台特定的目录中，取决于 INSTALL_LAYOUT CMake 选项，如下表所示。要明确指定默认目录，请使用 INSTALL_MYSQLKEYRINGDIR CMake 选项。

在插件启动时，如果分配给 keyring_encrypted_file_data 的值指定了一个不存在的文件，keyring_encrypted_file 插件将尝试创建它（以及其父目录，如果必要）。

如果您手动创建目录，应该具有限制性模式，并且只能由用于运行 MySQL 服务器的帐户访问。例如，在 Unix 和 Unix-like 系统上，使用 /usr/local/mysql/mysql-keyring 目录，以下命令（以 root 身份执行）创建目录并设置其模式和所有权：

cd /usr/local/mysql
mkdir mysql-keyring
chmod 750 mysql-keyring
chown mysql mysql-keyring
chgrp mysql mysql-keyring

如果 keyring_encrypted_file 插件无法创建或访问其数据文件，将写入错误消息到错误日志。如果尝试在运行时将 keyring_encrypted_file_data 分配结果错误，变量值将保持不变。

keyring_encrypted_file_password

用于 keyring_encrypted_file 插件的密码。此变量仅在插件安装时可用。

该变量是必需的。如果未指定，keyring_encrypted_file 初始化将失败。

如果在选项文件中指定了该变量，文件应该具有限制性模式，并且只能由用于运行 MySQL 服务器的帐户访问。

密码值不能在运行时使用 SHOW VARIABLES 或性能架构 global_variables 表显示，因为显示值将被混淆。

keyring_file_data

用于 keyring_file 插件的数据文件路径名。此变量仅在插件安装时可用。文件位置应该在仅供密钥环插件使用的目录下。例如，不要将文件位于数据目录下。

密钥环操作是事务性的：keyring_file 插件在写入操作期间使用备份文件，以确保可以在操作失败时回滚到原始文件。备份文件具有与 keyring_file_data 系统变量相同的名称，后缀为 .backup。

不要为多个 MySQL 实例使用相同的 keyring_file 数据文件。每个实例应该具有其自己的唯一数据文件。

默认文件名是 keyring，位于平台特定的目录中，取决于 INSTALL_LAYOUT CMake 选项的值，如下表所示。要明确指定默认目录，请使用 INSTALL_MYSQLKEYRINGDIR CMake 选项。

在插件启动时，如果分配给 keyring_file_data 的值指定了一个不存在的文件，keyring_file 插件将尝试创建它（以及其父目录，如果必要）。

如果您手动创建目录，它应该具有限制模式，并且只能由运行 MySQL 服务器的帐户访问。例如，在 Unix 和 Unix-like 系统上，要使用 /usr/local/mysql/mysql-keyring 目录，以下命令（以 root 身份执行）创建目录并设置其模式和所有权：

cd /usr/local/mysql
mkdir mysql-keyring
chmod 750 mysql-keyring
chown mysql mysql-keyring
chgrp mysql mysql-keyring

如果 keyring_file 插件无法创建或访问其数据文件，它将写入错误日志。如果尝试在运行时分配 keyring_file_data 结果出错，变量值将保持不变。

keyring_hashicorp_auth_path

HashiCorp Vault 服务器中 AppRole 身份验证的身份验证路径，用于 keyring_hashicorp 插件。该变量仅在插件安装时可用。

keyring_hashicorp_ca_path

MySQL 服务器可以访问的本地文件的绝对路径名，包含 HashiCorp Vault 服务器的正确格式的 TLS 证书颁发机构，用于 keyring_hashicorp 插件。该变量仅在插件安装时可用。

如果未设置该变量，keyring_hashicorp 插件将打开 HTTPS 连接，而不使用服务器证书验证，并信任 HashiCorp Vault 服务器提供的任何证书。如果这些假设无效，设置 keyring_hashicorp_ca_path 到受信任的 CA 证书的路径。（例如，对于 证书和密钥准备 中的说明，这是 company.crt 文件。）

HashiCorp缓存

是否启用可选的内存密钥缓存，该缓存由 keyring_hashicorp 插件用于从 HashiCorp Vault 服务器缓存密钥。如果启用缓存，插件将在初始化期间填充缓存。否则，插件将在初始化期间仅填充密钥列表。

启用缓存是一种折衷方案：它可以提高性能，但会在内存中维护敏感密钥信息的副本，这可能会出于安全考虑而不可取。

HashiCorp身份验证路径

该变量与 keyring_hashicorp_auth_path 相关，从中获取值是在 keyring_hashicorp 插件初始化期间。如果插件安装成功，该变量将反映插件操作时实际使用的“提交”值。有关更多信息，请参阅 keyring_hashicorp 配置。

HashiCorp CA 证书路径

该变量与 keyring_hashicorp_ca_path 相关，从中获取值是在 keyring_hashicorp 插件初始化期间。如果插件安装成功，该变量将反映插件操作时实际使用的“提交”值。有关更多信息，请参阅 keyring_hashicorp 配置。

HashiCorp 缓存提交

该变量与 keyring_hashicorp_caching 相关，从中获取值是在 keyring_hashicorp 插件初始化期间。如果插件安装成功，该变量将反映插件操作时实际使用的“提交”值。有关更多信息，请参阅 keyring_hashicorp 配置。

HashiCorp 角色 ID 提交

该变量与 keyring_hashicorp_role_id 相关，从中获取值在 keyring_hashicorp 插件初始化期间。该变量仅在插件安装时可用。它反映了插件操作的 “已提交” 值，如果初始化成功。有关更多信息，请参阅 keyring_hashicorp 配置。

keyring_hashicorp_commit_server_url

该变量与 keyring_hashicorp_server_url 相关，从中获取值在 keyring_hashicorp 插件初始化期间。该变量仅在插件安装时可用。它反映了插件操作的 “已提交” 值，如果初始化成功。有关更多信息，请参阅 keyring_hashicorp 配置。

keyring_hashicorp_commit_store_path

该变量与 keyring_hashicorp_store_path 相关，从中获取值在 keyring_hashicorp 插件初始化期间。该变量仅在插件安装时可用。它反映了插件操作的 “已提交” 值，如果初始化成功。有关更多信息，请参阅 keyring_hashicorp 配置。

keyring_hashicorp_role_id

HashiCorp Vault AppRole 身份验证角色 ID，用于 keyring_hashicorp 插件。该变量仅在插件安装时可用。该值必须在 UUID 格式。

该变量是必需的。如果未指定，keyring_hashicorp 初始化将失败。

keyring_hashicorp_secret_id

HashiCorp Vault AppRole 身份验证秘密 ID，用于 keyring_hashicorp 插件。该变量仅在插件安装时可用。该值必须在 UUID 格式。

该变量是必需的。如果未指定，keyring_hashicorp 初始化将失败。

该变量的值是敏感的，因此在显示时用 * 字符掩盖。

keyring_hashicorp_server_url

HashiCorp Vault 服务器 URL，由 keyring_hashicorp 插件使用。此变量仅在插件安装时可用。该值必须以 https:// 开头。

keyring_hashicorp_store_path

HashiCorp Vault 服务器中的存储路径，用于写入适当的 AppRole 凭证，由 keyring_hashicorp 插件提供。此变量仅在插件安装时可用。要指定凭证，请设置 keyring_hashicorp_role_id 和 keyring_hashicorp_secret_id 系统变量（例如，如 keyring_hashicorp 配置 中所示）。

此变量是必需的。如果未指定，keyring_hashicorp 初始化将失败。

keyring_oci_ca_certificate

Oracle Cloud Infrastructure 证书验证的 CA 证书 bundle 文件路径，由 keyring_oci 插件使用。此变量仅在插件安装时可用。

该文件包含一个或多个用于对等验证的证书。如果未指定文件，将使用系统上的默认 CA bundle。如果值为 disabled（区分大小写），keyring_oci 将不执行证书验证。

keyring_oci_compartment

Oracle Cloud Infrastructure 中的租户 comparment 的 OCID，由 keyring_oci 插件使用作为 MySQL 密钥的位置。此变量仅在插件安装时可用。

在使用 keyring_oci 之前，您必须创建一个 MySQL comparment 或子 comparment，如果它不存在。该 comparment 应该不包含任何 vault 密钥或 vault 秘密。它不应该被其他系统以外的 MySQL Keyring 使用。

有关管理 comparment 和获取 OCID 的信息，请参阅 管理 Comparment。

此变量是必需的。如果未指定，keyring_oci 初始化将失败。

keyring_oci_encryption_endpoint

Oracle Cloud Infrastructure 加密服务器的端点，由 keyring_oci 插件用于生成新密钥的密文。此变量仅在插件安装时可用。

加密端点是 vault 特定的，Oracle Cloud Infrastructure 在 vault 创建时分配。要获取端点 OCID，请查看 keyring_oci vault 的配置详细信息，使用 管理 Vaults 中的说明。

此变量是必需的。如果未指定，keyring_oci 初始化将失败。

密钥环OCI密钥文件

Oracle Cloud Infrastructure身份验证中使用的RSA私钥文件的路径名，该变量仅在安装了密钥环OCI插件时可用。

您还必须使用控制台上传相应的RSA公钥，然后可以使用密钥环OCI密钥指纹系统变量。

有关生成和上传API密钥的信息，请参阅Required Keys and OCIDs。

该变量是必需的。如果未指定，密钥环OCI初始化将失败。

密钥环OCI密钥指纹

密钥环OCI插件用于Oracle Cloud Infrastructure身份验证的RSA私钥的指纹，该变量仅在安装了密钥环OCI插件时可用。

要获取密钥指纹，请执行以下命令：

openssl rsa -pubout -outform DER -in ~/.oci/oci_api_key.pem | openssl md5 -c

或者，从控制台获取指纹，该控制台在上传RSA公钥时自动显示指纹。

有关获取密钥指纹的信息，请参阅Required Keys and OCIDs。

该变量是必需的。如果未指定，密钥环OCI初始化将失败。

密钥环OCI管理端点

密钥环OCI插件用于列出现有密钥的Oracle Cloud Infrastructure密钥管理服务器的端点，该变量仅在安装了密钥环OCI插件时可用。

密钥管理端点是vault特定的，Oracle Cloud Infrastructure在vault创建时分配该端点。要获取端点OCID，请查看Managing Vaults中的vault配置详细信息。

该变量是必需的。如果未指定，密钥环OCI初始化将失败。

密钥环OCI主密钥

密钥环OCI插件用于加密机密的Oracle Cloud Infrastructure主加密密钥的OCID，该变量仅在安装了密钥环OCI插件时可用。

在使用密钥环OCI之前，您必须创建一个Oracle Cloud Infrastructure comparment的加密密钥，如果不存在。为生成的密钥提供一个MySQL特定的名称，不要将其用于其他目的。

有关密钥创建的信息，请参阅Managing Keys。

该变量是必需的。如果未指定，密钥环OCI初始化将失败。

密钥环OCI机密端点

Oracle Cloud Infrastructure机密服务器的端点，该端点由keyring_oci插件用于列出、创建和退休机密。此变量仅在插件安装时可用。

机密端点是vault特定的，Oracle Cloud Infrastructure在vault创建时分配它。要获取端点OCID，请查看keyring_oci vault的配置详细信息，使用管理vaults中的说明。

此变量是强制性的。如果未指定，keyring_oci初始化将失败。

keyring_oci_tenancy

Oracle Cloud Infrastructure tenancy的OCID，该tenancy是keyring_oci插件用于MySQL comparment的位置。此变量仅在插件安装时可用。

在使用keyring_oci之前，必须创建tenancy，如果它不存在。要从控制台获取tenancy OCID，请使用Required Keys and OCIDs中的说明。

此变量是强制性的。如果未指定，keyring_oci初始化将失败。

keyring_oci_user

Oracle Cloud Infrastructure用户的OCID，该用户是keyring_oci插件用于云连接的用户。此变量仅在插件安装时可用。

在使用keyring_oci之前，该用户必须存在，并被授予访问配置的Oracle Cloud Infrastructure tenancy、comparment和vault资源的权限。

要从控制台获取用户OCID，请使用Required Keys and OCIDs中的说明。

此变量是强制性的。如果未指定，keyring_oci初始化将失败。

keyring_oci_vaults_endpoint

Oracle Cloud Infrastructure vaults服务器的端点，该端点由keyring_oci插件用于获取机密的值。此变量仅在插件安装时可用。

vaults端点是vault特定的，Oracle Cloud Infrastructure在vault创建时分配它。要获取端点OCID，请查看keyring_oci vault的配置详细信息，使用管理vaults中的说明。

此变量是强制性的。如果未指定，keyring_oci初始化将失败。

keyring_oci_virtual_vault

Oracle Cloud Infrastructure Vault的OCID，该vault是keyring_oci插件用于加密操作的vault。此变量仅在插件安装时可用。

在使用 keyring_oci 之前，必须在 MySQL comparment 中创建一个新的 vault，如果不存在。（或者，您可以重用一个已经存在的 vault，该 vault 位于 MySQL comparment 的父 comparment 中。） comparment 用户只能看到和使用他们各自 comparment 中的密钥。

有关创建 vault 和获取 vault OCID 的信息，请参阅 管理 Vaults。

该变量是必需的。如果未指定，keyring_oci 初始化将失败。

keyring_okv_conf_dir

存储配置信息的目录名称，该信息用于 keyring_okv 插件。这变量仅在插件安装时可用。该目录的位置应该仅供 keyring_okv 插件使用。例如，不要将目录位于数据目录下。

默认的 keyring_okv_conf_dir 值为空字符串。为了使 keyring_okv 插件能够访问 Oracle Key Vault，该值必须设置为包含 Oracle Key Vault 配置和 SSL 材料的目录。有关设置该目录的说明，请参阅 第 8.4.4.8 节，“使用 keyring_okv KMIP 插件”。

该目录应该具有限制模式，并且仅供运行 MySQL 服务器的帐户访问。例如，在 Unix 和 Unix-like 系统上，要使用 /usr/local/mysql/mysql-keyring-okv 目录，以下命令（以 root 身份执行）创建目录并设置其模式和所有权：

cd /usr/local/mysql
mkdir mysql-keyring-okv
chmod 750 mysql-keyring-okv
chown mysql mysql-keyring-okv
chgrp mysql mysql-keyring-okv

如果分配给 keyring_okv_conf_dir 的值指定了一个不存在的目录，或者该目录不包含启用 Oracle Key Vault 连接的配置信息，keyring_okv 将写入错误消息到错误日志中。如果尝试在运行时分配 keyring_okv_conf_dir 结果出错，变量值和 keyring 操作将保持不变。

keyring_operations

是否启用 keyring 操作。这变量用于密钥迁移操作。请参阅 第 8.4.4.14 节，“在 Keyring 密钥存储之间迁移密钥”。修改该变量需要 ENCRYPTION_KEY_ADMIN 权限，另外还需要 SYSTEM_VARIABLES_ADMIN 权限或已弃用的 SUPER 权限。