Tidb的静态加密，完全本地存储，该如何做？

https://docs.pingcap.com/zh/tidb/stable/encryption-at-rest
请问在这个文中提到的，可以选择将 AWS KMS (Key Management Service) 用于云上部署或本地部署，也可以指定将密钥以明文形式存储在文件中
这个AWS KMS怎么本地化部署？有什么开源软件吗？
能完全替代AWS KMS 并在本地化部署
或者说，如果使用AWS的服务，网络抖动对服务有影响吗？

支持本地文件的形式提供主密钥，此时静态加密不会依赖KMS。

image1040×288 29.3 KB

这个本地密钥的方式支持K8s部署吗？

挂在一个存储，然后挂到每个tikv的镜像里面？

这个可以用文件的形式提供密钥，也就是把密钥写到文件中，让所有tikv节点都可以访问这个密钥文件就可以了。密钥文件路径在每个tikv中保持一致即可。

https://github.com/minio/kes

minio有个开源的kms实现，但我自己没有实际用过，难以判断和AWS的接口差多少。是否兼容。

What is KES?

KES is a distributed key management server that scales horizontally. It can either be run as edge server close to the applications reducing latency to and load on a central key management system (KMS) or as central key management server. Edge servers are self-contained stateless nodes close to the application that can be scaled up/down automatically. Central KES servers or clusters are stateful systems that store and manage cryptographic keys and secrets securely.

https://github.com/minio/minio

minio做的对象存储就不用说了，和aws接口差不多的。这个kms你要愿意折腾可以尝试一下看看，如果能用，实践后发个文章也算是给社区做贡献了。

提供aws的kms写入参数

看帖中，等待最佳答案出现

本地密钥管理服务（除了明文密钥文件外）将考虑兼容MySQL的设计，可查看MySQL相关介绍：https://dev.mysql.com/doc/refman/8.0/en/keyring.html
如果有更多的需求，可以在此提出，我将收集，谢谢