要安装keyring_aws，请按照第8.4.4.3节，“Keyring Plugin Installation”中的一般说明，并将这里找到的一些插件特定的配置信息一起使用。

插件库文件包含keyring_aws插件和两个可加载函数：keyring_aws_rotate_cmk()和keyring_aws_rotate_keys()。

要配置keyring_aws，您需要获取一个提供AWS KMS通信凭证的秘密访问密钥，并将其写入到配置文件中：

在服务器启动过程中使用keyring_aws，需要使用--early-plugin-load选项加载。系统变量keyring_aws_cmk_id是必需的，用于配置从AWS KMS服务器获取的KMS密钥ID。系统变量keyring_aws_conf_file和keyring_aws_data_file可选地配置keyring_aws插件用于配置信息和数据存储的文件位置。文件位置变量的默认值是平台相关的。要显式配置文件位置，设置变量值在启动时。例如，在服务器my.cnf文件中添加以下行，根据平台需要调整.so后缀和文件路径：

[mysqld]
early-plugin-load=keyring_aws.so
keyring_aws_cmk_id='arn:aws:kms:us-west-2:111122223333:key/abcd1234-ef56-ab12-cd34-ef56abcd1234'
keyring_aws_conf_file=/usr/local/mysql/mysql-keyring/keyring_aws_conf
keyring_aws_data_file=/usr/local/mysql/mysql-keyring/keyring_aws_data

为了使keyring_aws插件启动成功，配置文件必须存在并包含有效的秘密访问密钥信息，按照之前描述初始化。存储文件不需要存在。如果不存在，keyring_aws将尝试创建它（包括必要的父目录）。

关于配置keyring_aws插件的系统变量的详细信息，请参见第8.4.4.16节，“Keyring System Variables”。

启动MySQL服务器并安装与keyring_aws插件相关的函数。这是一个一次性操作，通过执行以下语句来完成，根据平台需要调整.so后缀：

CREATE FUNCTION keyring_aws_rotate_cmk RETURNS INTEGER
  SONAME 'keyring_aws.so';
CREATE FUNCTION keyring_aws_rotate_keys RETURNS INTEGER
  SONAME 'keyring_aws.so';

关于keyring_aws函数的详细信息，请见第8.4.4.13节，“插件特定密钥-ring密钥管理函数”。

插件启动时，keyring_aws插件从其配置文件中读取AWS秘密访问密钥ID和密钥，并从存储文件中读取任何加密的密钥，并将它们加载到内存缓存中。

在操作过程中，keyring_aws插件维护内存缓存中的加密密钥，并使用存储文件作为本地持久存储。每个密钥-ring操作都是事务性的：keyring_aws插件要么成功更改内存密钥缓存和密钥-ring存储文件，要么操作失败，密钥-ring状态保持不变。

为了确保只有在正确的密钥-ring存储文件存在时才flush密钥，keyring_aws插件将密钥-ring的SHA-256校验和存储到文件中。在更新文件之前，插件将验证它是否包含预期的校验和。

keyring_aws插件支持标准MySQL Keyring服务接口中的函数。密钥-ring操作由这些函数执行，可以在两个级别上访问：

示例（使用SQL接口）：

SELECT keyring_key_generate('MyKey', 'AES', 32);
SELECT keyring_key_remove('MyKey');

此外，keyring_aws_rotate_cmk()和keyring_aws_rotate_keys()函数“扩展”密钥ring插件接口，以提供AWS相关功能，不受标准密钥ring服务接口的覆盖。这些功能只能通过使用SQL来调用，这些函数没有相应的C语言密钥服务函数。

有关keyring_aws密钥值的特性，请见第8.4.4.10节，“支持的Keyring密钥类型和长度”。

假设keyring_aws插件在服务器启动时正确初始化，可以更改与AWS KMS通信的凭证：