全部产品
Search

搜索本产品

    云原生数据库 PolarDB:管理加密规则

    文档中心

    云原生数据库 PolarDB:管理加密规则

    更新时间:Nov 27, 2023

    您可以在PolarDB控制台上新建以及启用或禁用加密规则,同时您还可以修改或删除已有的加密规则。本文将介绍相关操作步骤。

    前提条件

    PolarDB数据库代理版本需为2.8.18或以上。如何查看和升级当前数据库代理版本,请参见小版本升级

    注意事项

    • 加密规则在主地址上不生效,您需要使用集群地址或自定义集群地址。

    • 当前只支持普通的COM_QUERY,不支持COM_STMT_PREPARE等其它命令。EncJDBC只支持text protocol,并不支持binary protocol。在所有情况下,客户端的prepared statament操作都通过text protocol来完成。

    • 当前加密功能与动态脱敏功能互斥,两者不能同时开启。

    • 如果之前已经开通过动态脱敏功能,则需要先把所有的脱敏规则先删除掉,然后重新建立规则并选中规则类型为加密

    • 用户指定密钥后,目前暂不支持更新密钥。整个数据库集群共享同一个用户密钥。

    • 请勿绕过数据库代理Proxy(SecureGW)直接连接访问原生MySQL Kernel,否则您的数据库集群将丧失敏感数据保护能力。此外,为防止恶意访问,建议您开启日志审计等功能,通过日志等管理手段进行事后审计追责。

    新建加密规则

    1. 登录PolarDB控制台

    2. 在控制台左上角,选择集群所在地域。

    3. 找到目标集群,单击集群ID。

    4. 在左侧导航栏,选择配置与管理>安全管理

    5. 安全管理页面,单击动态脱敏/加密页签。

    6. 动态脱敏/加密页签,单击页面左上角的新增

    7. 新建规则对话框中,设置以下参数:

      表 1. 配置加密规则

      参数

      是否必填

      说明

      基本信息

      规则名称

      必填

      加密规则的名称。字符长度不能超过30个字符。

      规则描述

      选填

      规则的描述。字符长度不能超过64个字符。

      启/禁规则

      不涉及

      启/禁规则开关。

      说明

      新建规则后,启/禁规则开关默认打开。

      Endpoint

      必填

      需要应用当前规则的Endpoint。

      规则配置

      数据库账号名

      选填

      需要应用当前规则的数据库账号名称。支持如下选项:

      • 所有数据库账号:表示当前规则对该集群中的所有数据库账号生效,此时右侧文本框无需填写任何内容。

      • 包含:表示当前规则仅对目标数据库账号生效,此时右侧文本框中必须填入一个或多个数据库账号名,多个账号间用英文逗号(,)分隔。

      • 不包含:表示当前规则会对该集群中,除目标数据库账号外的所有数据库账号生效,此时右侧文本框中必须填入一个或多个数据库账号名,多个账号间用英文逗号(,)分隔。

      说明

      文本框中填入的数据库账号名称需满足支持如下格式中的任意一种:

      • 账号名。示例:user

      • 账号名@完整IP。示例:user@10.1.1.1

      • 账号名@含通配符的IP。示例:user@10.1.1.%user@%.1.1.1user@1.%.1

      • 账号名@IP/掩码。示例:user@10.1.1.0/255.255.255.0

      数据库名

      选填

      需要应用当前规则的数据库名称。支持如下选项:

      • 所有数据库:表示当前规则对该集群中的所有数据库生效,此时右侧文本框中无需填入任何内容。

      • 包含:表示当前规则仅对目标数据库生效,此时右侧文本框中必须填入一个或多个数据库名称,多个名称间用英文逗号(,)分隔。

      表名

      选填

      需要应用当前规则的表名称。支持如下选项:

      • 所有表:表示当前规则对该集群中的所有表生效,此时右侧文本框中无需填入任何内容。

      • 包含:表示当前规则仅对目标表生效,此时右侧文本框中必须填入一个或多个表名称,多个名称间用英文逗号(,)分隔。

      字段名

      必填

      需要应用当前规则的字段名称。支持同时输多个字段名称,多个名称间用英文逗号(,)分隔。

    8. 单击确定

    启用或禁用规则

    1. 登录PolarDB控制台

    2. 在控制台左上角,选择集群所在地域。

    3. 找到目标集群,单击集群ID。

    4. 在左侧导航栏,选择配置与管理>安全管理

    5. 安全管理页面,单击动态脱敏/加密页签。

    6. 找到目标规则,打开或关闭启/禁规则开关。

      image.png

      说明

      • 您也可以在规则列表中同时选中多个目标规则,然后单击列表下方的启用禁用进行批量启用禁用规则。

      • 禁用的规则不会被删除,而是继续保留在规则列表里。如有需要,您可以再次启用该规则。

    7. 在弹出的对话框中,单击确定

    修改加密规则

    1. 登录PolarDB控制台

    2. 在控制台左上角,选择集群所在地域。

    3. 找到目标集群,单击集群ID。

    4. 在左侧导航栏,选择配置与管理>安全管理

    5. 安全管理页面,单击动态脱敏/加密页签。

    6. 找到目标规则,单击右侧操作中的修改,在弹出的对话框中,根据业务需要修改规则参数。

    7. 修改完成后,单击确认

    删除加密规则

    1. 登录PolarDB控制台

    2. 在控制台左上角,选择集群所在地域。

    3. 找到目标集群,单击集群ID。

    4. 在左侧导航栏,选择配置与管理>安全管理

    5. 安全管理页面,单击动态脱敏/加密页签。

    6. 找到目标规则,单击右侧操作栏中的删除

    7. 在弹出的对话框中,单击确定