既存テーブルに対する透過的データ暗号化の設定

このセクションでは、既存のテーブルに対して透過的データ暗号化を有効にする方法について説明します。

OceanBase データベースにおけるデータ暗号化の単位はテーブルスペース（Tablespace）です。OceanBase データベースは複数のデータファイルを持つデータベースシステムではないため、テーブルスペースは互換性のために設計された概念であり、簡単に言えばテーブルスペースは一連のテーブルの集合であると理解できます。

このセクションでは、暗号化されたテーブルスペース sectest_ts1 上の既存テーブル t1 に対して暗号化を有効にする例を用いて、透過的データ暗号化の操作手順を説明します。

使用上の制限

• システムテナントでは暗号化を有効にできません。
• テナントで透過的データ暗号化が設定されると、テナントを再構築しない限り、他の暗号化モードに切り替えることはできません。

暗号化の設定

このセクションでは、internal方式とobcloud方式の設定例を示します。

internal方式の透過的データ暗号化を設定する

internal方式のテナントマスターキーについては、その暗号情報は主に内部テーブルで管理されます。ログ再生時の循環依存を避けるため、この暗号化方式ではclogは暗号化されません。

1. 管理者がクラスタのMySQLテナントにログインします。

2. 以下のステートメントを実行して、internal方式の透過的データ暗号化を有効にします。

   パラメータtde_methodは透過的テーブル領域暗号化の方式を設定するために使用され、デフォルトはnoneで、透過的テーブル領域暗号化が無効であることを示します。

   パラメータtde_methodの詳細については、tde_methodを参照してください。

   注意

   パラメータtde_methodは一度設定すると、変更できなくなります。

   obclient> ALTER SYSTEM SET tde_method='internal';
   

3. 以下のステートメントを実行し、該当テナント上のすべてのOBServerノードにおけるパラメータtde_methodの値がinternalであることを確認します。

   obclient> SHOW PARAMETERS LIKE 'tde_method';
   

4. 確認後、以下のステートメントを実行してマスターキーを生成します。

   説明

   テナント上のすべてのOBServerノードにおけるパラメータtde_methodの値がinternalである場合にのみ、このステートメントを実行できます。

   obclient> ALTER INSTANCE ROTATE INNODB MASTER KEY;
   

5. テーブル領域を作成し、暗号化アルゴリズムを指定します。

   暗号化アルゴリズムとしてaes-256、aes-128、aes-192、sm4-cbc、aes-128-gcm、aes-192-gcm、aes-256-gcm、sm4-gcmを指定できます。'y'を使用した場合、デフォルトでaes-256が使用されます。

   例：

   obclient> CREATE TABLESPACE sectest_ts1 encryption = 'y';
   

obcloud方式の透過的データ暗号化の設定

obcloud 方式は、統一されたKMSプロキシサービスを介してマスターキーを管理するシナリオに適しています。

1. 管理者がクラスタのMySQLテナントにログインします。

2. 以下のステートメントを実行して、obcloud 方式の透過的データ暗号化を有効にします。

   パラメータ tde_method は、透過的テーブル領域暗号化の方式を設定するために使用されます。デフォルトは none で、透過的テーブル領域暗号化が無効であることを示します。

   パラメータ tde_method の詳細については、tde_methodを参照してください。

   注意

   パラメータ tde_method は一度設定すると、変更できなくなります。

   obclient> ALTER SYSTEM SET tde_method = 'obcloud';
   

3. 以下のステートメントを実行し、該当テナント上のすべてのOBServerノードにおけるパラメータ tde_method の値が obcloud であることを確認します。

   obclient> SHOW PARAMETERS LIKE 'tde_method';
   

4. 以下のステートメントを実行し、KMSプロキシサービスのパラメータを設定します。

   obclient> ALTER SYSTEM SET external_kms_info = '{
     "kms_host": "https://kms.example.oceanbase.com",
     "access_key_id": "LTAI****************",
     "access_key_secret": "your_access_key_secret",
     "cmk_id": "your_customer_master_key_id"
   }';
   

5. 確認後、以下のステートメントを実行してマスターキーを生成します。

   説明

   このステートメントを実行するには、テナント上のすべてのOBServerノードにおけるパラメータ tde_method の値がすべて obcloud であり、かつ external_kms_info が正しく設定されている必要があります。

   obclient> ALTER INSTANCE ROTATE INNODB MASTER KEY;
   

6. テーブル領域を作成し、暗号化アルゴリズムを指定します。

   暗号化アルゴリズムとして aes-256、aes-128、aes-192、sm4-cbc、aes-128-gcm、aes-192-gcm、aes-256-gcm、sm4-gcm を指定できます。'y' を使用した場合、デフォルトでAES-256が使用されます。

   例：

   obclient> CREATE TABLESPACE sectest_ts1 encryption = 'y';
   

既存テーブルを暗号化テーブルスペースに移動する

暗号化方式の設定が完了したら、既存のテーブルを暗号化テーブルスペースに移動できます。具体的な手順は以下のとおりです：

1. 通常ユーザーでデータベースのMySQLテナントにログインします。

2. テーブルが存在するデータベースに入った後、テーブルt1をテーブルスペースsectest_ts1に移動します。

   obclient> ALTER TABLE t1 TABLESPACE sectest_ts1;
   

テーブルの透過的データ暗号化

1. 一般ユーザーがデータベースのMySQLテナントにログインします。

2. テーブルのprogressive_merge_num値を設定し、テーブルに対してフルコンパクションまたはプログレッシブコンパクションを実行します。

   progressive_merge_numはテーブルのプログレッシブコンパクションのラウンド数を設定するために使用されます。デフォルト値は0で、増分コンパクションを意味します。値を1に設定すると、フルコンパクションを実行します。

   テーブルに対してメジャーコンパクション操作を実行する際は、通常、フルコンパクション方式を使用します。ただし、テーブル内のデータ量が非常に多く、フルコンパクションを有効にすると単一のメジャーコンパクション処理時間が長くなりすぎる場合は、プログレッシブコンパクションの使用を推奨します。

   • テーブルに対してフルコンパクションを実行する

     1. progressive_merge_numの値を1に設定します。

        obclient> ALTER TABLE t1 set progressive_merge_num = 1;
        

     2. 手動で1ラウンドのメジャーコンパクションを開始します。

        手動でメジャーコンパクションを開始する操作については、手動でのメジャーコンパクションのトリガーを参照してください。

        説明

        テーブルに対してフルコンパクションを実行した後、フルコンパクションが完了すると、すべてのテーブルデータの暗号化も完了します。その後、V$OB_ENCRYPTED_TABLESビューを確認することで、暗号化の完了状況を直接確認できます。

     3. メジャーコンパクションが完了したら、progressive_merge_numの値を0に戻します。

        obclient> ALTER TABLE t1 set progressive_merge_num = 0;
        

   • テーブルに対してプログレッシブコンパクションを実行する

     1. progressive_merge_numの値を1より大きい数値に設定し、プログレッシブコンパクションの準備としてOPTIMIZEコマンドを実行します。

        例：

        obclient> ALTER TABLE t1 SET progressive_merge_num = 3;
        
        obclient> OPTIMIZE TABLE t1;
        

     2. テーブルとその上のインデックスのすべての既存マクロブロックの暗号化を完了させるため、手動で複数ラウンドのプログレッシブコンパクションを開始します。

        1ラウンドのプログレッシブコンパクションを開始するステートメントは以下のとおりです：

        obclient> ALTER SYSTEM MAJOR FREEZE;
        

        説明

        プログレッシブコンパクションの進行中、V$OB_ENCRYPTED_TABLESビューをクエリすることで、暗号化の完了状況をリアルタイムで確認できます。

3. 完了後、以下のビューを確認することで、すべてのマクロブロックが暗号化されているかどうかを確認できます。

   例：

   obclient> SELECT * FROM oceanbase.V$OB_ENCRYPTED_TABLES;
   +----------+------------+---------------+---------------+-----------+----------------------------------+-------------+------------------+------------------+--------+--------+
   | TABLE_ID | TABLE_NAME | TABLESPACE_ID | ENCRYPTIONALG | ENCRYPTED | ENCRYPTEDKEY                     | MASTERKEYID | BLOCKS_ENCRYPTED | BLOCKS_DECRYPTED | STATUS | CON_ID |
   +----------+------------+---------------+---------------+-----------+----------------------------------+-------------+------------------+------------------+--------+--------+
   |   500010 | t1         |        500009 | aes-256       | YES       | xxxxxxxxxxxxxxxxxxxxxxxxxxxx7882 |      xxxx08 |                0 |                0 | NORMAL |      0 |
   +----------+------------+---------------+---------------+-----------+----------------------------------+-------------+------------------+------------------+--------+--------+
   1 row in set
   

   クエリ結果に基づき、BLOCKS_DECRYPTEDフィールドの値が0であれば、すべてのマクロブロックが暗号化されています。

   ビューV$OB_ENCRYPTED_TABLESのフィールドと説明の詳細については、V$OB_ENCRYPTED_TABLESを参照してください。

関連ドキュメント

• 新規作成テーブルに対する透過的データ暗号化の設定
• 暗号化の解除