ページの先頭行へ戻る
Enterprise Postgres 14 SP1 オペレーターユーザーズガイド
FUJITSU Software

4.9.2 FEPClusterカスタムリソースの設定

鍵管理システムを利用したTDEを有効化するためには、“spec.fepChildCrVal.customPgParams”と“spec.fepChildCrVal.sysTde”の設定が必要です。

4.9.2.1 spec.fepChildCrVal.customPgParamsの定義

fepChildCrVal.customPgParamsセクションでは、以下のパラメータを定義する必要があります。

shared_preload_libraries

「tde_kms」ライブラリをshared_preload_librariesのライブラリのリストに追加します。

例)

  spec:
    fep:
     …
      fepChildCrVal:
        …
        customPgParams:
        shared_preload_libraries='pgx_datamasking,pg_prewarm,pg_stat_statements,tde_kms'

クラスタ作成後に「tde_kms」ライブラリを「shared_preload_libraries」リストから削除しないでください。

4.9.2.2 spec.fepChildCrVal.sysTdeの定義

sysTdeセクションをspec.fepChildCrValの下に追加して、鍵管理システムへの接続に必要なパラメータを定義します。sysTdeの下には、下記の2つのパラメータが定義されています。

spec.fepChildCrVal.sysTde.tdeTypeの定義

sysTde自体はオプションのパラメータです(sysTdeが定義されていない場合、パスフレーズを使用したTDEが実装されます)。ただし、sysTdeがユーザーによって定義されている場合は、sysTde.tdeTypeも定義する必要があります。

鍵管理システムを利用したTDEを構成する場合は、sysTde.tdeTypeを「tdek」に設定します。

例)

    sysTde:
      tdeType: tdek
spec.fepChildCrVal.sysTde.tdekの定義

sysTde.tdeTypeを「tdek」に設定した場合、sysTde.tdekも定義する必要があります。

sysTde.tdek.kmsDefinitionには鍵管理システムの接続情報を定義します。ここに定義された情報を基にオペレーターがFUJITSU Enterprise Postgresで利用される鍵管理システム接続情報ファイルを作成します。

例)

    sysTde:
      tdeType: tdek
      tdek:
        targetKmsName: kms_conninfo1
        kmsDefinition: 
          - name: kms_conninfo1
            type: kmip
...

各パラメータの詳細は、“オペレーターリファレンス”を参照してください。

fepChildCrVal.sysTde.tdek.kmsDefinitionのcert配下のパラメータには、“4.9.1 証明書の登録”で作成したSecretまたはConfigMap名を指定します。

例)

  spec:
    fep:
     …
      fepChildCrVal:
        …
        sysTde:
        tdeType: tdek
        tdek:
          targetKmsName: kms_conninfo1
          targetKeyId: xxxyyyzzz
          kmsDefinition:
            -  name: kms_conninfo1
               type: kmip
               address: xxx.xxx.xxx.xxx
               port: 100
               authMethod: cert
               sslpassphrase: ssl-password
               cert:
                 certificateName: kmip-cert
                 caName: kmip-cacert
                 sslcrlName: kmip-crl