在 Azure Key Vault 中存储 MySQL Enterprise 加密密钥

Question

MySQL Server 企业版与 Hashicorp 集成以加密静态数据。加密密钥存储在 HashiCorp 保管库中，如 MySQL documentation 中所述。

根据 HashiCorp 文档[1][2]，我们可以使用 Azure Key Vault 来存储机密。

是否可以集成 MySQL - HashiCorp - Azure Key Vault 所以

• MySQL 企业版使用 HashiCorp 加密
• 加密密钥存储在 AKV 中。

编辑更多细节：我已经在 kv(Hashicop) 保险库中保存和读取 MySQL 加密密钥。但我想配置为从 Azure Key Vault 读取和存储此密钥。

像这样配置 MySQL 服务器：

[mysqld]

early-plugin-load=keyring_hashicorp.so

keyring_hashicorp_role_id='XXXXXXXX-XXXXXXXX-XXXXXXXX-XXXXXXXX-XXXXXXXX'

keyring_hashicorp_secret_id='XXXXXXXX-XXXXXXXX-XXXXXXXX-XXXXXXXX-XXXXXXXX'
keyring_hashicorp_store_path='/azure/mysql'

在 Azure 中，我已经设置了

vault read azure/creds/my-role
Key                Value
---                -----
lease_id           azure/creds/my-role/XXXXXXXX
lease_duration     1h
lease_renewable    true
client_id          XXXXXXXX-XXXXXXXX-XXXXXXXX-XXXXXXXX
client_secret      XXXXXXXX

如何设置keyring_hashicorp_store_path 以从 Azure 获取密钥？

我找不到任何配置选项、教程或文档来使这三者协同工作。

Answer 1

是的，这是可能的。我假设您的意思是为 HashiCorp Vault 存储一些启封密钥，用于在您需要访问密钥时启封保管库......以及您希望将这些启封密钥存储在 Azure Key Vault 等另一个保管库中的位置？与任何 Key Vault 一样，您几乎可以在其中存储任何您想要的任何密钥、值，甚至是小型文本文档，直至达到 Vault 的最大安全加密范围的限制（请参阅每个服务单独提供的加密密钥存储的文档，或寻求他们的支持）

需要注意的是，MySQL 的 HashiCorp 插件也是这样说的：

在生成这些 AppRole 角色 ID 和秘密 ID 凭据后，它们预计将无限期保持有效。它们不需要再次生成，并且可以使用它们配置 keyring_hashicorp 插件以持续使用。有关 AuthRole 身份验证的更多信息，请访问https://www.vaultproject.io/docs/auth/approle.html。