鍵管理システムを利用したTDEを有効化するためには、“spec.fepChildCrVal.customPgParams”と“spec.fepChildCrVal.sysTde”の設定が必要です。
fepChildCrVal.customPgParamsセクションでは、以下のパラメータを定義する必要があります。
「tde_kms」ライブラリをshared_preload_librariesのライブラリのリストに追加します。
例)
spec:
fep:
…
fepChildCrVal:
…
customPgParams:
shared_preload_libraries='pgx_datamasking,pg_prewarm,pg_stat_statements,tde_kms'クラスタ作成後に「tde_kms」ライブラリを「shared_preload_libraries」リストから削除しないでください。
sysTdeセクションをspec.fepChildCrValの下に追加して、鍵管理システムへの接続に必要なパラメータを定義します。sysTdeの下には、下記の2つのパラメータが定義されています。
tdeType
tdek
sysTde自体はオプションのパラメータです(sysTdeが定義されていない場合、パスフレーズを使用したTDEが実装されます)。ただし、sysTdeがユーザーによって定義されている場合は、sysTde.tdeTypeも定義する必要があります。
鍵管理システムを利用したTDEを構成する場合は、sysTde.tdeTypeを「tdek」に設定します。
例)
sysTde:
tdeType: tdeksysTde.tdeTypeを「tdek」に設定した場合、sysTde.tdekも定義する必要があります。
sysTde.tdek.kmsDefinitionには鍵管理システムの接続情報を定義します。ここに定義された情報を基にオペレーターがFUJITSU Enterprise Postgresで利用される鍵管理システム接続情報ファイルを作成します。
例)
sysTde:
tdeType: tdek
tdek:
targetKmsName: kms_conninfo1
kmsDefinition:
- name: kms_conninfo1
type: kmip
...各パラメータの詳細は、“オペレーターリファレンス”を参照してください。
fepChildCrVal.sysTde.tdek.kmsDefinitionのcert配下のパラメータには、“4.9.1 証明書の登録”で作成したSecretまたはConfigMap名を指定します。
例)
spec:
fep:
…
fepChildCrVal:
…
sysTde:
tdeType: tdek
tdek:
targetKmsName: kms_conninfo1
targetKeyId: xxxyyyzzz
kmsDefinition:
- name: kms_conninfo1
type: kmip
address: xxx.xxx.xxx.xxx
port: 100
authMethod: cert
sslpassphrase: ssl-password
cert:
certificateName: kmip-cert
caName: kmip-cacert
sslcrlName: kmip-crl