ディスク流出時の暗号化機能を有効にする
システム変数tidb_enable_tmp_storage_on_oom
ON
に設定されている場合、単一の SQL ステートメントのメモリ使用量がシステム変数tidb_mem_quota_query
の制限を超えると、一部のオペレーターは実行中の中間結果を一時ファイルとしてディスクに保存し、実行後にそのファイルを削除できます。クエリが完了しました。
ディスク流出の暗号化を有効にして、攻撃者がこれらの一時ファイルを読み取ってデータにアクセスするのを防ぐことができます。
構成、設定
ディスク スピル ファイルの暗号化を有効にするには、TiDB 構成ファイルの[security]
セクションの項目spilled-file-encryption-method
を構成できます。
[security]
spilled-file-encryption-method = "aes128-ctr"
spilled-file-encryption-method
の値のオプションはaes128-ctr
とplaintext
です。デフォルト値はplaintext
で、暗号化が無効であることを意味します。