透過的データ暗号化を使用するには、キーストアを作成し、マスタ暗号化キーを設定する必要があります。
postgresql.confのkeystore_locationパラメータに、キーストアを格納するディレクトリを設定します。
データベースクラスタごとに異なる場所を指定してください。
keystore_location = 'C:\\key\\store\\location'
postgresql.confについては、“付録A パラメータ”を参照してください。
postgresql.confファイルを編集後は、インスタンスを起動、または再起動してください。
WebAdminを使用する場合
“2.1.1 WebAdminを使用する場合”を参照してインスタンスを再起動します。
コマンドを利用する場合
“2.1.2 コマンドを利用する場合”を参照してインスタンスを再起動します。
以下のようなSQL関数を実行してマスタ暗号化キーを設定します。
データベースのスーパーユーザーで実行してください。
SELECT pgx_set_master_key('passphrase');passphraseは、今後キーストアをオープンするために使われるパスフレーズです。マスタ暗号化キーはこのパスフレーズによって保護されるため、短く単純で推測されやすい文字列を指定しないよう注意してください。
pgx_set_master_key関数の詳細は、“B.2 透過的データ暗号化制御関数”を参照してください。
注意
ここで指定したパスフレーズを忘れてしまうと、暗号化されたデータにはアクセスできなくなります。忘れたパスフレーズを取り戻したり、データを復号する方法はありません。決してパスフレーズを忘れないようにしてください。
pgx_set_master_key関数は、キーストア格納ディレクトリにkeystore.ksというファイルを作成します。そして、ランダムなビット列からなるマスタ暗号化キーを生成し、それを指定されたパスフレーズで暗号化してkeystore.ksに格納します。キーストアは、オープンされた状態になります。