雲原生記憶體資料庫Tair支援透明資料加密TDE(Transparent Data Encryption),可對RDB資料檔案執行加密和解密。您可以通過控制台啟用TDE功能,對RDB資料進行自動加密和解密,以滿足提升資料安全性及合規需要。
前提條件
背景資訊
Tair的TDE功能可以將RDB資料檔案在寫入磁碟之前進行加密,從磁碟讀入記憶體時進行解密,具有不額外佔用儲存空間、無需更改用戶端應用程式等優勢。
影響
由於開啟TDE功能後無法關閉,在開啟前,需要評估對業務的影響,具體如下:
暫不支援遷移可用性區域操作。
暫不支援離線全量Key分析操作。
暫不支援將該執行個體轉換為全球分布式執行個體。
暫不支援通過DTS執行遷移或同步資料。
注意事項
TDE的開啟粒度為執行個體層級,不支援Key(鍵)或DB(庫)粒度的控制。
TDE加密對象為資料落盤檔案(即RDB備份檔案,如dump.rdb)。
TDE所使用的密鑰,由Key Management Service(Key Management Service)統一產生和管理,KVStore for Redis不提供加密所需的密鑰和認證。
執行個體資源回收筒不支援恢複已開啟TDE的執行個體。
操作步驟
訪問Tair執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列,單擊TDE設定。
開啟TDE狀態右側的開關。
在彈出的對話方塊中,選擇使用自動產生密鑰或使用自訂密鑰,然後單擊確定。
圖 2. 開啟TDE選擇密鑰
說明如果您的阿里雲帳號首次為Tair執行個體開啟TDE功能,請根據頁面彈出的提示完成授權(授權的角色為AliyunRdsInstanceEncryptionDefaultRole),授權完成後才可以使用相關密鑰服務。
關於自訂密鑰的建立方法,請參見建立密鑰。
設定完成後,執行個體狀態改為TDE修改中,當執行個體狀態轉變為運行中表示操作完成。
相關API
API介面 | 說明 |
為Tair執行個體開啟透明資料加密TDE功能,支援自訂或自動產生密鑰。 | |
查詢Tair執行個體是否開啟了TDE加密功能。 | |
查詢Tair執行個體的TDE加密功能可使用的自訂密鑰列表。 | |
查詢Tair執行個體的透明資料加密TDE自訂密鑰的詳情。 | |
查詢Tair執行個體是否已被授權使用KMS密鑰服務。 |
常見問題
Q:下載了加密後的RDB資料檔案,如何進行解密?
A:目前無法解密,您可以將備份組恢複至新執行個體,恢複完成後,資料即完成自動解密。
Q:為什麼用戶端讀取到的資料還是明文顯示的?
A:加密的對象是資料落盤檔案(即RDB備份檔案),而查詢資料時讀取的是記憶體資料(未被加密),所以是明文顯示。