云数据库 Tair(兼容 Redis)支持透明数据加密TDE(Transparent Data Encryption),可对RDB数据文件执行加密和解密。您可以通过控制台启用TDE功能,对RDB数据进行自动加密和解密,以满足提升数据安全性及合规需要。
前提条件
实例存储介质为Tair(企业版)内存型。
实例部署模式为经典(原本地盘)。
实例的小版本为1.7.1及以上,升级方法请参见升级小版本。
背景信息
云数据库 Tair(兼容 Redis)的TDE功能可以将RDB数据文件在写入磁盘之前进行加密,从磁盘读入内存时进行解密,具有不额外占用存储空间、无需更改客户端应用程序等优势。
影响
由于开启TDE功能后无法关闭,在开启前,需要评估对业务的影响,具体如下:
暂不支持迁移可用区操作。
暂不支持离线全量Key分析操作。
暂不支持将该实例转换为全球分布式实例。
暂不支持通过DTS执行迁移或同步数据。
注意事项
操作步骤
访问实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏,单击TDE设置。
打开TDE状态右侧的开关。
说明如果小版本过低,该开关将处于不可单击状态,查看及升级小版本的方法,请参见升级小版本与代理版本。
在弹出的对话框中,选择使用自动生成密钥或使用自定义密钥,然后单击确定。
设置完成后,实例状态改为TDE修改中,当实例状态转变为运行中表示操作完成。
相关API
API接口 | 说明 |
为实例开启透明数据加密TDE功能,支持自定义或自动生成密钥。 | |
查询实例是否开启了TDE加密功能。 | |
查询实例的TDE加密功能可使用的自定义密钥列表。 | |
查询实例的透明数据加密TDE自定义密钥的详情。 | |
查询实例是否已被授权使用KMS密钥服务。 |
常见问题
Q:下载了加密后的RDB数据文件,如何进行解密?
A:目前无法解密,您可以将备份集恢复至新实例,恢复完成后,数据即完成自动解密。
Q:为什么客户端读取到的数据还是明文显示的?
A:加密的对象是数据落盘文件(即RDB备份文件),而查询数据时读取的是内存数据(未被加密),所以是明文显示。