安全配置

enable_security_policy

参数说明：安全策略开关，控制统一审计和数据动态脱敏策略是否生效。

该参数属于SIGHUP类型参数，请参考表1中对应设置方法进行设置。

取值范围：布尔型。

on：安全策略开关打开。

off：安全策略开关关闭。

默认值：off

use_elastic_search

参数说明：使能统一审计发送日志至Elastic Search系统, enable_security_policy打开且本参数打开后，统一审计日志会通过http(https)传递至Elastic Search系统（默认使用https安全协议）。此参数打开后需要保证elastic_search_ip_addr对应的es服务可正常连通，否则进程启动失败。

该参数属于POSTMASTER类型参数，请参考表1中对应设置方法进行设置。

取值范围：布尔型。

on：使能统一审计日志发送至Elastic Search。

off：关闭统一审计日志发送至Elastic Search。

默认值：off

elastic_search_ip_addr

参数说明：Elastic Search系统IP地址 ，使用https协议格式为：https://ip:port:username；使用http协议格式为：http://ip:port。其中，ip为Elastic Search服务器的IP，port为Elastic Search HTTP通信的侦听端口，范围为9200 - 9299，username为用户在Elastic Search注册账号所使用的用户名，初始用户为elastic。使用https协议需要配置相关证书，详见《安全加固指南》中“统一审计“章节。

该参数属于POSTMASTER类型参数，请参考表1中对应设置方法进行设置。

取值范围：字符串。

默认值：''

is_sysadmin

参数说明：表示当前用户是否是初始用户。

该参数属于INTERNAL类型参数，为固定参数，用户无法修改此参数，只能查看。

取值范围：布尔型。

on表示是初始用户。

off表示不是初始用户。

默认值：off

enable_tde

参数说明：透明数据加密功能开关。创建加密表前需要将此参数置为on。当前参数值为off时，禁止创建新的加密表，对于已经创建的加密表只在读取数据时解密，写入数据时不再加密。

该参数属于POSTMASTER类型参数，请参考表1中对应设置方法进行设置。

取值范围：布尔型。

on：开启透明数据加密功能。

off：关闭透明数据加密功能。

默认值：off

tde_cmk_id

参数说明：透明数据加密功能使用的集群主密钥CMK的ID编号，由使用的密钥管理服务KMS生成。集群主密钥CMK用于对数据加密密钥DEK进行加密保护，当前需要对DEK进行解密时，需要给KMS发起请求报文，将DEK密文和对应CMK的ID编号一起发送给KMS。

该参数属于SIGHUP类型参数，请参考表1中对应设置方法进行设置。

取值范围：字符串。

默认值：""

block_encryption_mode

参数说明：aes_encrypt和aes_decrypt函数进行加解密时使用的块加密模式。

该参数属于USERSET类型参数，请参考表1中对应设置方法进行设置。

取值范围：枚举类型，有效值为aes-128-cbc, aes-192-cbc，aes-256-cbc，aes-128-cfb1，aes-192-cfb1，aes-256-cfb1，aes-128-cfb8，aes-192-cfb8，aes-256-cfb8，aes-128-cfb128，aes-192-cfb128，aes-256-cfb128，aes-128-ofb，aes-192-ofb，aes-256-ofb。其中aes表示加/解密算法，128/192/256表示密钥长度（单位：bit），cbc/cfb1/cfb8/cfb128/ofb表示块加/解密模式。

默认值：aes-128-cbc