MySQL 8.0 リファレンスマニュアル


MySQL 8.0 リファレンスマニュアル  /  レプリケーション  /  レプリケーションのセキュリティ

17.3 レプリケーションのセキュリティ

レプリケーションソースサーバーとレプリカ間で格納および転送されるデータへの不正なアクセスから保護するには、第6章「セキュリティー で説明されているように、インストール内の任意の MySQL インスタンスに対して選択するセキュリティ対策を使用して、関係するすべてのサーバーを設定します。 また、レプリケーショントポロジ内のサーバーの場合は、次のセキュリティ対策を実装することを検討してください:

  • 暗号化された接続を使用してバイナリログを転送するようにソースとレプリカを設定します。これにより、このデータは移動中に保護されます。 これらの接続の暗号化は、暗号化されたネットワーク接続をサポートするようにサーバーを設定するだけでなく、CHANGE REPLICATION SOURCE TO | CHANGE MASTER TO ステートメントを使用してアクティブ化する必要があります。 セクション17.3.1「暗号化接続を使用するためのレプリケーションの設定」を参照してください。

  • バイナリログファイルを暗号化し、ソースおよびレプリカ上のリレーログファイルを暗号化します。これにより、このデータが保存され、バイナリログキャッシュで使用されているデータも保護されます。 バイナリログの暗号化は、binlog_encryption システム変数を使用してアクティブ化されます。 セクション17.3.2「バイナリログファイルとリレーログファイルの暗号化」を参照してください。

  • 権限チェックをレプリケーションアプライアンスに適用します。これは、権限のある操作または不要な操作の不正または偶然の使用からレプリケーションチャネルを保護するのに役立ちます。 権限チェックは、PRIVILEGE_CHECKS_USER アカウントを設定することで実装されます。このアカウントは、そのチャネルの特定の各トランザクションが認可されていることを確認するために MySQL で使用されます。 セクション17.3.3「レプリケーション権限チェック」を参照してください。

グループレプリケーションでは、バイナリログの暗号化および権限チェックをレプリケーショングループメンバーのセキュリティ対策として使用できます。 また、グループメンバー間の接続の暗号化、グループ通信接続と分散リカバリ接続の構成、および信頼できないホストを除外するための IP アドレスの割当ての適用も検討する必要があります。 Group Replication に固有のこれらのセキュリティー対策については、セクション18.5「グループレプリケーションセキュリティ」 を参照してください。


関連キーワード:  バイナリ, ソース, 設定, ベース, 接続, 権限, トランザクション, GTID, サーバー, ステートメント