6.4.4.9 特定于插件的密钥环密钥 Management 功能
对于每个特定于密钥环插件的用户定义函数(UDF),本节介绍其用途,调用 Sequences 和返回值。有关通用密钥环 UDF 的信息,请参见第 6.4.4.8 节“通用密钥环密钥 Management 功能”。
关联的密钥环插件:keyring_aws
keyring_aws_rotate_cmk()旋转 Client 主密钥(CMK)。轮换仅更改 AWS KMS 用于后续数据密钥加密操作的密钥。 AWS KMS 维护以前的 CMK 版本,因此使用以前的 CMK 生成的密钥在旋转后仍可解密。
轮换会更改 AWS KMS 内使用的 CMK 值,但不会更改用于引用它的 ID,因此在调用keyring_aws_rotate_cmk()之后无需更改keyring_aws_cmk_id系统变量。
此 UDF 需要SUPER特权。
Arguments:
None.
Return value:
返回 1table 示成功,返回NULL
table 示失败。
关联的密钥环插件:keyring_aws
keyring_aws_rotate_keys()旋转存储在keyring_aws_data_file系统变量命名的keyring_aws
存储文件中的键。旋转将keyring_aws_cmk_id系统变量的值用作 CMK 值,将文件中存储的每个密钥发送到 AWS KMS 进行重新加密,并将新的加密密钥存储在文件中。
在以下情况下,keyring_aws_rotate_keys()对于密钥重新加密很有用:
-
旋转 CMK 之后;也就是说,在调用keyring_aws_rotate_cmk() UDF 之后
- 将keyring_aws_cmk_id系统变量更改为其他键值后
此 UDF 需要SUPER特权。
Arguments:
None.
Return value:
返回 1table 示成功,返回NULL
table 示失败。