安全配置
elastic_search_ip_addr
参数说明: Elastic Search系统IP地址。
该参数属于POSTMASTER类型参数,请参考表1中对应设置方法进行设置。
取值范围: 字符串。
默认值:'https:127.0.0.1'
enable_security_policy
参数说明: 安全策略开关,控制统一审计和数据动态脱敏策略是否生效。
该参数属于SIGHUP类型参数,请参考表1中对应设置方法进行设置。
取值范围: 布尔型。
on:安全策略开关打开。
off:安全策略开关关闭。
默认值 :off
use_elastic_search
参数说明: 使能统一审计发送日志至Elastic Search系统,enable_security_policy打开且本参数打开后,统一审计日志会通过http(https)传递至Elastic Search系统(默认使用https安全协议)。此参数打开后需要保证elastic_search_ip_addr对应的es服务可正常连通,否则进程启动失败。
该参数属于POSTMASTER类型参数,请参考表1中对应设置方法进行设置。
取值范围: 布尔型。
on:使能统一审计日志发送至Elastic Search。
off:关闭统一审计日志发送至Elastic Search。
默认值 :off
is_sysadmin
参数说明: 表示当前用户是否是初始用户。
该参数属于INTERNAL类型参数,为固定参数,用户无法修改此参数,只能查看。
取值范围: 布尔型。
on:是初始用户。
off:不是初始用户。
默认值 :off
enable_tde
参数说明: 透明数据加密功能开关。创建加密表前需要将此参数置为on。当前参数值为off时,禁止创建新的加密表,对于已经创建的加密表只在读取数据时解密,写入数据时不再加密。
该参数属于POSTMASTER类型参数,请参考表1中对应设置方法进行设置。
取值范围: 布尔型。
on:开启透明数据加密功能。
off:关闭透明数据加密功能。
默认值 :off
tde_cmk_id
参数说明: 透明数据加密功能使用的数据库实例主密钥CMK的ID编号,由使用的密钥管理服务KMS生成。数据库实例主密钥CMK用于对数据加密密钥DEK进行加密保护,当前需要对DEK进行解密时,需要给KMS发起请求报文,将DEK密文和对应CMK的ID编号一起发送给KMS。
该参数属于SIGHUP类型参数,请参考表1中对应设置方法进行设置。
取值范围: 字符串。
默认值 :""
block_encryption_mode
参数说明: aes_encrypt和aes_decrypt函数进行加解密时使用的块加密模式。
该参数属于USERSET类型参数,请参考表1中对应设置方法进行设置。
取值范围: 枚举类型,有效值为aes-128-cbc, aes-192-cbc,aes-256-cbc,aes-128-cfb1,aes-192-cfb1,aes-256-cfb1,aes-128-cfb8,aes-192-cfb8,aes-256-cfb8,aes-128-cfb128,aes-192-cfb128,aes-256-cfb128,aes-128-ofb,aes-192-ofb,aes-256-ofb。其中aes表示加/解密算法,128/192/256表示密钥长度(单位:bit),cbc/cfb1/cfb8/cfb128/ofb表示块加/解密模式。
默认值 :aes-128-cbc
restrict_nonsystem_relation_kind
参数说明: 限制访问指定数据库对象。
该参数属于USERSET类型参数,请参考表1中对应设置方法进行设置。
取值范围: 'view', 'foreign-table'。
默认值:''
审计开关
audit_enabled
参数说明:指定是否启用审计进程。启用审计进程后,可从管道读取后台进程写入的审计信息并写入审计文件。 该参数为 SIGHUP 参数,设置方式见表 1。
取值范围:布尔型
on:启用审计功能。
off:禁用审计功能。
默认值:on
audit_directory
参数说明:指定审计文件的存储目录,为相对于数据目录的路径。仅系统管理员(sysadmin)用户可访问此参数。 该参数为 POSTMASTER 参数,设置方式见表 1。
取值范围:字符串
默认值:pg_audit。若使用 om 部署 openGauss,审计日志存储在 $GAUSSLOG/pg_audit/ 实例名。
注意:
需为不同数据节点(DN)设置不同的审计文件目录,否则审计日志将异常。
若配置文件中 audit_directory 的值为无效路径,审计功能将无法使用。
路径说明:
有效路径:对该路径具有读写权限。 无效路径:对该路径无读或写权限。
audit_data_format
参数说明:审计日志文件的格式,当前仅支持二进制格式。仅系统管理员(sysadmin)用户可访问此参数。 该参数为 POSTMASTER 参数,设置方式见表 1。
取值范围:字符串
默认值:binary
audit_rotation_interval
参数说明:指定创建审计日志文件的时间间隔。若当前时间与上一个审计日志文件的创建时间之差大于 audit_rotation_interval 的值,将生成新的审计日志文件。 该参数为 SIGHUP 参数,设置方式见表 1。
取值范围:整数,范围 1 至INT_MAX/60,单位为分钟(min)。
默认值:1d(1 天)
- 仅在需要时调整此参数,否则可能导致 audit_resource_policy 失效。如需控制审计日志的存储空间和时间,需设置 audit_resource_policy、audit_space_limit 和 audit_file_remain_time 参数。
audit_rotation_size
参数说明:指定单个审计日志文件的最大容量。若单个审计日志中的消息总数超过 audit_rotation_size 的值,服务器将生成新的审计日志文件。 该参数为 SIGHUP 参数,设置方式见表 1。
取值范围:整数,范围 1024 至 1048576,单位为千字节(kB)。
默认值:10 MB
- 仅在需要时调整此参数,否则可能导致 audit_resource_policy 失效。如需控制审计日志的存储空间和时间,需设置 audit_resource_policy、audit_space_limit 和 audit_file_remain_time 参数。
audit_resource_policy
参数说明:指定审计日志优先按空间还是时间存储的策略。 该参数为 SIGHUP 参数,设置方式见表 1。
取值范围:布尔型
on:审计日志优先按空间存储,最多存储 audit_space_limit 指定的日志空间。
off:审计日志优先按时间存储,至少存储 audit_file_remain_time 指定的时长。
默认值:on
audit_file_remain_time
参数说明:指定记录审计日志的最短时长。仅当 audit_resource_policy 设置为 off 时,此参数有效。 该参数为 SIGHUP 参数,设置方式见表 1。
取值范围:整数,范围 0 至 730,单位为天(day)。0 表示存储时长无限制。
默认值:90
audit_space_limit
参数说明:指定审计文件占用的总磁盘空间。 该参数为 SIGHUP 参数,设置方式见表 1。
取值范围:整数,范围 1024 kB 至 1024 GB,单位为千字节(kB)。
默认值:1GB
audit_file_remain_threshold
参数说明:指定审计目录中允许的最大审计文件数量。 该参数为 SIGHUP 参数,设置方式见表 1。
取值范围:整数,范围 100 至 1048576。
默认值:1024
- 建议将此参数设置为 1048576,仅在需要时调整,否则可能导致 audit_resource_policy 失效。如需控制审计日志的存储空间和时间,需设置 audit_resource_policy、audit_space_limit 和 audit_file_remain_time 参数。
audit_thread_num
参数说明:指定审计线程的数量。 该参数为 POSTMASTER 参数,设置方式见表 1。
取值范围:整数,范围 1 至 48。
默认值:1
- 当启用 audit_dml_state 且需要高性能时,建议增大此参数值,以确保审计消息能及时处理和记录。
enable_risky_query_detection
参数说明:指定是否启用风险查询检测日志事件。若设置为 'on',检测到风险查询时将插入日志条目。 该参数为 USERSET 参数,设置方式见表 1。
取值范围:[off, on]
默认值:off
- 当 enable_risky_query_detection 设置为 'on' 时,风险查询功能仅记录用户直接提交的 SQL 语句,以增强透明度和可审计性。数据库机制(如触发器、函数或存储过程)生成的查询会被有意排除,确保日志清晰聚焦于用户发起的操作。