云数据库 GAUSSDB-前向兼容与安全增强:外部密钥服务的身份验证

时间:2024-11-13 10:04:55

外部密钥服务的身份验证

当数据库驱动访问华为云密钥管理服务时,为避免攻击者伪装为密钥服务,在数据库驱动与密钥服务建立https连接的过程中,可通过CA证书验证密钥服务器的合法性。为此,需提前配置CA证书,如果未配置,将不会验证密钥服务的身份。本节介绍如何下载与配置CA证书。

配置方法

在key_info参数的中,增加证书相关参数即可。

  • 使用gsql时
    gaussdb=# \key_info keyType=huawei_kms,iamUrl=https://iam.example.com/v3/auth/tokens,iamUser={ IAM 用户名},iamPassword={IAM用户密码},iamDomain={账号名},kmsProject={项目},iamCaCert=/路径/IAM的CA证书文件,kmsCaCert=/路径/KMS的CA证书文件
    
    gaussdb=# \key_info keyType=huawei_kms,kmsProjectId={项目ID},ak={AK},sk={SK},kmsCaCert=/路径/KMS的CA证书文件
    
  • 使用JDBC时
    conn.setProperty("key_info", "keyType=huawei_kms," +
        "iamUrl=https://iam.{example.com/v3/auth/tokens," +
        "iamUser={IAM用户名}," +
        "iamPassword={IAM用户密码}," +
        "iamDomain={账号名}," +
        "kmsProject={项目}," +
        "iamCaCert=/路径/IAM的CA证书文件," +
        "kmsCaCert=/路径/KMS的CA证书文件");
    
    conn.setProperty("key_info", "keyType=huawei_kms, kmsProjectId={项目ID}, ak={AK}, sk={SK}, kmsCaCert=/路径/KMS的CA证书文件");
support.huaweicloud.com/fg-gaussdb-dist-v8/gaussdb-18-0015.html