将MySQL企业加密密钥存储在Azure密钥库中

Question

MySQL服务器企业版与Hashicorp集成，在rest中加密数据。加密密钥存储在HashiCorp保险库中，如MySQL文档中所述。

基于HashiCorp文档[1] [2]，我们可以使用Azure密钥库来存储秘密。

是否可以集成MySQL - HashiCorp - Azure密钥库

• MySQL企业版使用HashiCorp加密
• 加密密钥存储在AKV中。

编辑提供更多详细信息：我已经在kv(Hashicop)金库中保存和读取MySQL加密密钥。但是我想配置从Azure密钥库读取和存储这个密钥。

使用如下内容配置MySQL服务器：

[mysqld]

early-plugin-load=keyring_hashicorp.so

keyring_hashicorp_role_id='XXXXXXXX-XXXXXXXX-XXXXXXXX-XXXXXXXX-XXXXXXXX'

keyring_hashicorp_secret_id='XXXXXXXX-XXXXXXXX-XXXXXXXX-XXXXXXXX-XXXXXXXX'
keyring_hashicorp_store_path='/azure/mysql'

在Azure，我建立了

vault read azure/creds/my-role
Key                Value
---                -----
lease_id           azure/creds/my-role/XXXXXXXX
lease_duration     1h
lease_renewable    true
client_id          XXXXXXXX-XXXXXXXX-XXXXXXXX-XXXXXXXX
client_secret      XXXXXXXX

如何设置keyring_hashicorp_store_path从Azure获得密钥？

我找不到任何配置选项，教程或文档，使这三种工作在一起。

Answer 1

是的有可能。我想您是说为HashiCorp Vault存储一些解封密钥，用于在需要访问keys...and时打开密室，您想将这些解封密钥存储在另一个像Azure这样的金库中？与任何密钥库一样，您几乎可以将任何密钥、值，甚至小文本文档存储在某些文档中，这些文档不超过金库最大安全加密范围的限制(请参阅每个服务的个人提供的冷冻密钥存储的文档，或请求它们的支持)。

值得注意的是，用于HashiCorp的MySQL插件也说明了这一点：

在生成这些AppRole角色ID和秘密ID凭据后，它们将无限期地保持有效。不需要再次生成这些插件，keyring_hashicorp插件可以与它们一起配置，以便持续使用。有关AuthRole身份验证的更多信息，请访问https://www.vaultproject.io/docs/auth/approle.html。