数据安全中心：列加密

功能说明

数据安全中心的列加密功能包含加密设置和账号权限管理两部分。加密设置定义加密算法和加密的RDS数据库实例、库、表以及列范围，账号权限管理用于管控访问所有已加密列数据的数据库账号及其权限。

支持列加密的数据库

• RDS MySQL实例的大版本为MySQL 5.7或MySQL 8.0，且内核小版本必须大于或等于20240731。

• PolarDB MySQL实例的大版本为MySQL 5.7或MySQL 8.0，且数据库代理版本必须大于或等于2.8.36。

  重要

  如果设置PolarDB MySQL数据库的列加密策略，必须使用数据库代理地址（可读可写模式）连接数据库。如果使用主地址，会导致列加密策略不生效。具体操作，请参见配置数据库代理和管理连接地址。

访问加密列数据原理

开启数据库列加密后，使用对应权限的数据库账号查询数据库表中加密列数据时，数据库会返回加密后数据，在客户端应用时才解密为明文数据，使得数据在除了应用客户端以及数据库内的外部流动中全程以密文形式存在。

• 数据库账号：已授权接入DSC的RDS MySQL版和PolarDB MySQL版的数据库下拉取到的数据库账号。

• 密文权限（JDBC解密）：默认访问已加密列数据的密文，支持该账号以SDK方式使用密钥进行解密后查看明文。开启PolarDB MySQL版的数据库的列加密后，该数据库下所有账号的权限默认设置为此权限。RDS MySQL版的数据库的账号支持设置为此权限。

• 密文权限（无解密权限）：仅支持访问已加密列数据的密文，不支持该账号以任何方式进行解密后查看明文。开启RDS MySQL版的数据库的列加密后，该数据库下所有账号的权限默认设置为此权限。PolarDB MySQL版的数据库的账号不支持设置为此权限。

• 明文权限：开启数据库列加密后，设置为明文权限的账号，不受列加密设置影响，可直接明文访问加密列信息。

计费说明

DSC为列加密服务免费提供1个字段的加密额度。后续使用该服务，您需要开启列加密服务并购买足够的列加密数，按照包年包月模式计费。计费详情，请参见计费概述。

前提条件

• 已购买足够的列加密字段数量。具体操作，请参见购买数据安全中心或包年包月实例变配。

• 已完成目标RDS或PolarDB数据资产的授权和连接。具体操作，请参见通用数据库授权。

• 已授权的RDS MySQL实例或PolarDB MySQL实例已执行敏感数据识别任务，完成敏感数据列识别。具体操作，请参见通过识别任务扫描敏感数据。

总览列加密统计信息

数据库实例接入DSC后，会在DSC控制台的数据治理 > 列加密页面展示已连接的MySQL 5.7和8.0版本的数据库实例列表，并根据敏感数据扫描和识别结果展示数据库、表、列以及敏感数据统计等信息。

1. 登录数据安全中心控制台。

2. 在左侧导航栏，选择风险治理 > 列加密。

3. 在数据库实例列表，可查看RDS和PolarDB实例名称、地域和加密检查等信息。您可以通过列表上方的搜索组件，例如资产类型、加密状态、识别模板、识别模型、敏感等级等，搜索并查看目标数据库实例。

   展开目标数据库实例，可以查看该实例下的数据库、表、列以及敏感识别结果信息。

   

4. 在实例列表左上方，可以查看统计的列总数、敏感列（识别到敏感等级为S3及以上的列数）、已加密列（已开启加密且生效成功的列数）、未加密列以及加密失败（已开启加密但生效失败的列数）。

   说明

   以上统计数据的列均为数据识别结果中敏感等级为S3及以上的列。

5. 在实例列表右上方，可以查看数据库相关的账号统计以及权限设置。

   账号总数：每个数据库的每个账号计为一个数据库账号，例如：A数据库和B数据库均有账号C，则数据库账号数计为两个。

   未配置加密：数据库中所有列都未开启加密时，账号权限为未配置加密，该数据库下所有账号正常访问所有列数据。

   明文权限或密文权限：开启数据库中列加密后，可设置数据库账号访问加密列数据的权限。

配置列加密

对于数据治理 > 列加密页面显示的数据库实例，加密检查列显示通过，才能配置对应数据库的列加密。

开启列加密

1. 在左侧导航栏，选择风险治理 > 列加密。

2. 您可以选择以下方式，批量加密列或开启单列加密。

   一键加密（批量列加密）

   1. 单击实例列表上方未加密列的一键加密。

      说明

      如果实例列表上方的已加密列显示为0，则一键加密按钮，显示在已加密列中。

      您也可以在实例列表中，单击目标数据库实例对应操作列的一键加密。

   2. 在右侧面板，选择加密参数，然后单击确定。

      

      参数	说明
      资产类型	选择RDS或PolarDB。
      实例名称	选择需要设置列加密的RDS实例。
      加密算法	目前仅支持默认加密算法：AES-128-GCM。
      明文权限账号	完成加密配置后，对应数据库下所有账号都默认设置为密文权限。您可以选择加白的账号，使用明文权限访问加密列数据。
      配置加密列	选择需要加密的数据库、表和列。 您可以根据搜索组件，例如识别模板、识别模型、敏感等级、库名称、表名称等，搜索待加密列信息。

   开启加密（单列加密）

   在RDS实例列表，展开目标实例，找到目标列，单击操作列的开启加密。该列使用默认加密算法：AES-128-GCM进行加密。

   

修改数据库账号权限

除了已设置为明文权限的账号，PolarDB MySQL数据库的其他账号默认为密文权限（JDBC解密）（支持解密后访问明文数据），RDS MySQL数据库的其他账号默认为密文权限（无解密权限）（仅支持访问密文数据）。

对于已配置且成功生效的加密列数据，您可以根据业务场景，修改账号权限为明文访问或密文权限（JDBC解密）。

1. 在风险治理 > 列加密页面，单击账号数据区域的权限设置。

   您可以在实例列表的操作列，单击编辑，在右侧面板，单击账号权限的配置。

2. 在账号权限设置面板，搜索目标实例和账号，查看当前账号权限。

3. 单击目标账号对应操作列的修改权限。

   您也可以选中多个具备相同权限的目标账号，单击列表下方的批量修改权限。

4. 在修改权限对话框，选中目标权限，单击确定。

修改加密列范围

完成加密配置后，您可以在实例列表的操作列，单击编辑，修改加密列范围。您也可以展开目标实例，在数据库列表，找到目标列名称，开启加密或关闭加密。

验证列加密结果

您可以根据已配置数据库列加密和数据库账号权限，验证访问加密列的数据。

客户端使用说明

如果您的数据库账号权限为密文权限（JDBC解密），您可以使用全密态客户端驱动程序EncJDBC接入目标RDS数据库，通过Java应用程序访问数据库中加密的列数据。EncJDBC能够自动完成密文数据的解密并返回明文数据，过程对应用透明。具体内容，请参见RDS MySQL数据库的客户端使用说明和PolarDB MySQL数据库的客户端使用说明。

常见问题

• 为什么在列加密页面找不到已授权接入的RDS实例和PolarDB实例？

  如果已授权接入的RDS数据库和PolarDB数据库不满足要求（必须为MySQL类型），在数据治理 > 列加密页面，不显示对应RDS实例和PolarDB实例。

• RDS实例和PolarDB实例的加密检查“未通过”怎么办？

  • 如果已授权接入的RDS MySQL数据库的版本不是5.7或8.0、内核版本小于20240731或为只读实例，加密检查列会显示未通过。

    • 数据库版本不支持

      如果确认目标RDS MySQL数据库需要进行列加密配置，您可以访问RDS实例列表，找到目标实例，升级数据库版本。具体操作，请参见升级数据库版本。

    • 内核版本不支持

      

      如果确认目标RDS MySQL数据库需要进行列加密配置，您可以单击升级数据库内核，选择升级版本和升级时间后，单击确定，进行内核版本升级。详细说明，请参见升级内核小版本。完成数据库内核升级后，该RDS数据库才支持开启列加密。

      

    • 只读实例

      由于创建只读实例时会从备实例复制数据，数据与主实例一致，主实例的数据更新也会在主实例完成操作后立即自动同步到所有只读实例，因此您可以在主实例进行列加密配置。

  • 如果已授权接入的PolarDB MySQL数据库的版本不是5.7或8.0，或者数据库代理版本小于2.8.36，加密检查列会显示未通过。

    • 数据库版本不支持

      如果确认目标PolarDB MySQL数据库需要进行列加密配置，您可以登录PolarDB控制台，找到目标集群，升级数据库版本。具体操作，请参见大版本升级。

    • 数据库代理版本不支持

      如果确认目标PolarDB MySQL数据库需要进行列加密配置，您可以单击升级数据库内核，选择升级版本和升级时间后，单击确定，进行代理版本升级。具体操作，请参见小版本升级。完成数据库代理版本升级后，该PolarDB数据库才支持开启列加密。

  完成版本升级后，您需要在DSC控制台完成资产同步操作，同步数据库最新信息。

  1. 在左侧导航栏，选择资产中心 > 授权管理，单击资产授权管理。

  2. 在资产授权管理面板左侧产品名称导航栏，单击PolarDB。

  3. 在资产授权管理面板，单击资产同步。