ストリーミングレプリケーションや、ストリーミングレプリケーションを利用したデータベース多重化機能を使用する環境で、鍵管理システムをキーストアとして透過的データ暗号化を使用する場合、以下の点を留意してください。
鍵管理システムの接続情報ファイルの配置と自動オープン
postgresql.confファイルのtde_kms.kms_conninfo_fileパラメータに指定する鍵管理システムの接続情報を記述するファイル、およびそのファイルから参照される証明書などのファイルはプライマリサーバとスタンバイサーバで共有することができます。ただし、キーストアの自動オープンの有効化のために用いる難読化された資格情報ファイルは、自動オープンの有効化の手順に従いそれぞれのサーバで作成し、それぞれのサーバに配置する必要があります。
共有しない場合、利用する鍵管理システムにプライマリサーバで設定した鍵管理システム名と同じ鍵管理システム名で接続できる必要があります。接続情報ファイルおよび接続情報ファイルから参照される証明書などのファイルをデータベース多重化運用を構成するすべてのサーバに配置してください。キーストアの自動オープンの有効化のために用いる難読化された資格情報ファイルは、自動オープンの有効化の手順に従いそれぞれのサーバで作成し、それぞれのサーバに配置する必要があります。
鍵管理システムに対する資格情報の変更
鍵管理システムに対する資格情報が変更された場合、データベース多重化運用を構成するすべてのサーバでpgx_open_keystore関数を使用して資格情報を変更してください。
スタンバイサーバの起動
スタンバイサーバを起動するときにキーストアをオープンしてください。これは、プライマリサーバから受信した暗号化されたWALを復号し、再生するために必要です。キーストアをオープンするには、pg_ctlコマンドまたはpgx_rcvallコマンドに、--kms-secretを指定して資格情報を入力するか、またはキーストアの自動オープンを有効化します。
マスタ暗号化キーの変更
マスタ暗号化キーはプライマリサーバで変更します。スタンバイサーバを再起動したり、キーストアを再度オープンする必要はありません。マスタ暗号化キーの変更は、スタンバイサーバにも反映されます。
参照
pgx_rcvallコマンドの詳細は、“リファレンス”の“pgx_rcvall”を参照してください。
pg_ctlコマンドの詳細は、“PostgreSQL Documentation”の“Reference”の“pg_ctl”を参照してください。
ストリーミングレプリケーションを構築する手順については、“PostgreSQL Documentation”の“Server Administration”の“High Availability,Load Balancing, and Replication”を参照してください。
