全部產品
Search
文件中心

Tair (Redis® OSS-Compatible):開啟透明資料加密TDE

更新時間:Nov 15, 2024

Tair (Redis OSS-compatible)支援透明資料加密TDE(Transparent Data Encryption),可對RDB資料檔案執行加密和解密。您可以通過控制台啟用TDE功能,對RDB資料進行自動加密和解密,以滿足提升資料安全性及合規需要。

前提條件

  • 執行個體儲存介質為Tair(企業版)記憶體型。

  • 執行個體部署模式為經典(原本地碟)。

  • 執行個體的小版本為1.7.1及以上,升級方法請參見升級小版本

背景資訊

Tair (Redis OSS-compatible)的TDE功能可以將RDB資料檔案在寫入磁碟之前進行加密,從磁碟讀入記憶體時進行解密,具有不額外佔用儲存空間、無需更改用戶端應用程式等優勢。

影響

由於開啟TDE功能後無法關閉,在開啟前,需要評估對業務的影響,具體如下:

注意事項

  • TDE的開啟粒度為執行個體層級,不支援Key(鍵)或DB(庫)粒度的控制。

  • TDE加密對象為資料落盤檔案(即RDB備份檔案,如dump.rdb)。

  • TDE所使用的密鑰,由Key Management Service(Key Management Service)統一產生和管理,Tair (Redis OSS-compatible)不提供加密所需的密鑰和認證。

  • 執行個體資源回收筒不支援恢複已開啟TDE的執行個體。

操作步驟

  1. 訪問執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。

  2. 在左側導覽列,單擊TDE設定

  3. 開啟TDE狀態右側的開關。

    說明

    如果小版本過低,該開關將處於不可單擊狀態,查看及升級小版本的方法,請參見升級小版本與代理版本

  4. 在彈出的對話方塊中,選擇使用自動產生密鑰使用自訂密鑰,然後單擊確定

    圖 2. 開啟TDE選擇密鑰開啟TDE選擇密鑰

    說明
    • 如果您的阿里雲帳號首次為執行個體開啟TDE功能,請根據頁面彈出的提示完成授權(授權的角色為AliyunRdsInstanceEncryptionDefaultRole),授權完成後才可以使用相關密鑰服務。

    • 關於自訂密鑰的建立方法,請參見建立密鑰

    設定完成後,執行個體狀態改為TDE修改中,當執行個體狀態轉變為運行中表示操作完成。

相關API

API介面

說明

ModifyInstanceTDE

為執行個體開啟透明資料加密TDE功能,支援自訂或自動產生密鑰。

DescribeInstanceTDEStatus

查詢執行個體是否開啟了TDE加密功能。

DescribeEncryptionKeyList

查詢執行個體的TDE加密功能可使用的自訂密鑰列表。

DescribeEncryptionKey

查詢執行個體的透明資料加密TDE自訂密鑰的詳情。

CheckCloudResourceAuthorized

查詢執行個體是否已被授權使用KMS密鑰服務。

常見問題

  • Q:下載了加密後的RDB資料檔案,如何進行解密?

    A:目前無法解密,您可以將備份組恢複至新執行個體,恢複完成後,資料即完成自動解密。

  • Q:為什麼用戶端讀取到的資料還是明文顯示的?

    A:加密的對象是資料落盤檔案(即RDB備份檔案),而查詢資料時讀取的是記憶體資料(未被加密),所以是明文顯示。