本文介紹了使用透明資料加密TDE(Transparent Data Encryption) 的方法。
功能介紹
透明資料加密TDE(Transparent Data Encryption)可對資料檔案執行即時I/O加密和解密,資料在寫入磁碟之前進行加密,從磁碟讀入記憶體時進行解密。TDE不會增加資料檔案的大小,開發人員無需更改任何應用程式,即可使用TDE功能。
加密使用的密鑰由Key Management Service(KMS)產生和管理,PolarDB-X不提供加密所需的密鑰和認證。PolarDB-X不僅支援使用阿里雲自動產生的密鑰,也可以使用內建的密鑰材料產生資料密鑰,然後授權PolarDB-X使用。
前提條件
已開通KMS。如果您未開通KMS,可在開通TDE過程中根據引導開通KMS。
操作步驟
- 登入PolarDB分布式版控制台。
- 在頁面左上方選擇目標執行個體所在地區。
- 在執行個體列表頁,單擊PolarDB-X 2.0頁簽。
- 找到目標執行個體,單擊執行個體ID。
- 在左側導覽列選擇。
- 在TDE頁簽單擊未開通左邊的滑塊。
- 在設定TDE對話方塊,完成以下設定:
- 選擇使用由阿里雲自動產生的密鑰,單擊確定,開通TDE。
- 選擇使用已有自訂密鑰,選擇密鑰,單擊確定,開通TDE。說明 如果沒有自訂密鑰,需要單擊前往建立,在Key Management Service控制台建立密鑰並匯入內建的密鑰材料。詳情請參見Key Management Service。
加密操作
登入資料庫,執行如下命令,對要加密的表進行加密。
alter table <tablename> encryption='Y';執行如下命令,可直接建立加密表。
create table <tablename> <col definition> ENCRYPTION='Y';解密操作
登入資料庫,執行如下命令,對TDE加密的表解密。
alter table <tablename> ENCRYPTION='N';