透過的データの暗号化機能を使用する場合は、“運用ガイド”の“透過的データ暗号化による格納データの保護”を参照し、設定してください。設定する場合、以下の点に留意してください。
ファイルベースのキーストアの場合
postgresql.confのkeystore_locationパラメータには共用ディスクを指定せず、クラスタアプリケーションを構成するすべてのノードで同じパスのローカルディレクトリを指定してください。
共用ディスクを指定した場合は、クラスタアプリケーションからの起動に失敗します。なぜなら、キーストアの自動オープン有効化の際に生成されるkeystore.aksファイルが生成されたノードでしか読めないように難読化しており、各ノードで共有できないからです。
マスタ暗号化キーの設定はすべてのノードで共通であることが求められます。したがって、マスタ暗号化キーの設定は1ノードで実行し、キーストア・ファイルを各ノードにコピーしてください。また、マスタ暗号化キーやパスフレーズを変更した場合もキーストア・ファイルを各ノードにコピーしてください。
必ずキーストアの自動オープンを有効化してください。キーストアの自動オープンの有効化は、クラスタアプリケーションを構成するすべてのノードで実行してください。なお、キーストアの自動オープンの有効化では、キーストアファイルの配置されたディレクトリのみを参照するため、GDSボリュームの起動・停止などの作業は必要ありません。
キーストアの自動オープンの有効化を実施していない場合は、クラスタアプリケーションからの起動に失敗します。なぜなら、起動時にキーストアをオープンするためのパスフレーズの手動入力待ちとなり、起動が終了しないからです。
鍵管理システムを使用する場合
postgresql.confファイルのtde_kms.kms_conninfo_fileパラメータに指定する鍵管理システムの接続情報を記述するファイル、およびそのファイルから参照される証明書などのファイルは共有ディスクに配置できます。ただしキーストアの自動オープンの有効化のために用いる難読化された資格情報ファイルは、クラスタアプリケーションを構成するすべてのノードで同じパスのローカルディスクのファイルに格納してください。
必ずキーストアの自動オープンを有効化してください。キーストアの自動オープンの有効化は、クラスタアプリケーションを構成するすべてのノードで実行してください。なお、キーストアの自動オープンの有効化では、難読化された資格情報ファイルを配置するディレクトリのみを参照するため、GDSボリュームの起動・停止などの作業は必要ありません。
キーストアの自動オープンの有効化を実施していない場合は、クラスタアプリケーションからの起動に失敗します。なぜなら、起動時にキーストアをオープンするためのパスフレーズの手動入力待ちとなり、起動が終了しないからです
鍵管理システムに対する資格情報が変更された場合、プライマリサーバではpgx_open_keystore関数を使用して資格情報を変更してください。スタンバイサーバではキーストアの自動オープンの有効化の手順を再度実施してください。
