透過的データ暗号化を使用するには、キーストアを作成し、マスタ暗号化キーを設定する必要があります。
postgresql.confのshared_preload_librariesパラメータに、ライブラリ名“tde_kms”を指定してロードします。
shared_preload_libraries = 'tde_kms'
postgresql.confのtde_kms.kms_conninfo_fileパラメータに、鍵管理システムの接続情報を記述したファイルを設定します。パラメータの詳細については、“付録A パラメータ”を参照してください。
鍵管理システム接続情報ファイルkms_conninfo.confの場合の例
tde_kms.kms_conninfo_file = 'kms_conninfo.conf'
鍵管理システム接続情報ファイルの記述例
kmip mykmipsvr mykmipsvr.example.com 5696 cert sslcert=postgres.crt sslkey=postgres.key sslrootcert=root.crt
CREATE EXTENSION文を実行し、拡張モジュールをインストールします。
CREATE EXTENSION tde_kms;
透過的データ暗号化を有効化するために、pgx_declare_external_master_key関数を呼び出して、マスタ暗号化キーとして使用する暗号化キーを宣言します。pgx_declare_external_master_key関数については、“B.2.3 pgx_declare_external_master_key”を参照してください。
SELECT pgx_declare_external_master_key( kms_name => 'mykmipsvr', key_id => 'a0eebc99-9c0b-0000-0000-000000000000', sslpassphrase => 'mykmippassphrase' );
