背景資訊

透明資料加密(Transparent Data Encryption,簡稱 TDE)可對資料檔案執行即時I/O加密和解密,資料在寫入磁碟之前進行加密,從磁碟讀入記憶體時進行解密。TDE不會增加資料檔案的大小,開發人員無需更改任何應用程式,即可使用 TDE 功能。

為了提高資料安全性,您可以通過RDS管理主控台或者Open APIModifyDBInstanceTDE啟用透明資料加密,對執行個體資料進行加密。

注意事項

  • TDE開通後無法關閉。
  • 加密使用密鑰由Key Management Service(KMS)產生和管理,RDS 不提供加密所需的密鑰和認證。開通 TDE 後,使用者如果要恢複資料到本地,需要先通過 RDS 解密資料。
  • 開通TDE後,會顯著增加CPU使用率。

前提條件

  • 執行個體類型為:RDS for SQLServer 2008 R2 和 RDS for MySQL 5.6。
  • 只有阿里雲主帳號(即非子帳號)登入才可以查看和修改 TDE 配置。
  • 開通TDE前需要先開通KMS。如果您未開通KMS,可在開通TDE過程中根據引導開通KMS。

操作步驟

  1. 登入 RDS 管理主控台,選擇目標執行個體。
  2. 在功能表列中選擇 資料安全性,在 資料安全性頁面選擇 TDE 頁簽
  3. 單擊 未開通,如下圖所示。

  4. 單擊 確定,開通 TDE。
    说明 如果您未開通Key Management Service,在開通 TDE 過程中會提示開啟Key Management Service,請根據引導開通KMS後,再單擊 未開通來開通 TDE。
  5. 登入資料庫,執行如下命令,對要加密的表進行加密。
    alter table <tablename> engine=innodb,block_format=encrypted;

後續操作

如果你要對 TDE 加密的表解密,請執行如下命令。

alter table <tablename> engine=innodb,block_format=default;