用户指南-数据库代理-设置透明数据加密
背景信息
透明数据加密(Transparent Data Encryption,简称 TDE)可对数据文件执行实时I/O加密和解密,数据在写入磁盘之前进行加密,从磁盘读入内存时进行解密。TDE不会增加数据文件的大小,开发人员无需更改任何应用程序,即可使用 TDE 功能。
为了提高数据安全性,您可以通过RDS管理控制台或者Open API
ModifyDBInstanceTDE启用透明数据加密,对实例数据进行加密。
注意事项
- TDE开通后无法关闭。
- 加密使用密钥由密钥管理服务(KMS)产生和管理,RDS 不提供加密所需的密钥和证书。开通 TDE 后,用户如果要恢复数据到本地,需要先通过 RDS 解密数据。
- 开通TDE后,会显著增加CPU使用率。
前提条件
- 实例类型为:RDS for SQLServer 2008 R2 和 RDS for MySQL 5.6。
- 只有阿里云主账号(即非子账号)登录才可以查看和修改 TDE 配置。
- 开通TDE前需要先开通KMS。如果您未开通KMS,可在开通TDE过程中根据引导开通KMS。
操作步骤
- 登录 RDS 管理控制台,选择目标实例。
- 在菜单栏中选择 数据安全性,在 数据安全性页面选择 TDE 页签。
- 单击 未开通,如下图所示。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
在阿里云RDS服务中启用透明数据加密(TDE)以增强数据安全性,可遵循以下详细步骤与注意事项:
操作步骤概览
-
前提条件确认:
- 实例兼容性:确保您的RDS实例类型为RDS for SQLServer 2008 R2或RDS for MySQL 5.6。
- 账号权限:使用阿里云主账号登录,子账号无法查看或修改TDE配置。
- KMS服务:开通密钥管理服务(KMS),因为TDE使用的加密密钥由KMS生成和管理。如果尚未开通KMS,您可在启用TDE流程中根据指引完成开通。
-
登录RDS管理控制台: 进入阿里云官网,登录到RDS管理控制台,选择目标实例所在的地域。
-
导航至TDE设置页面: 在实例列表中找到并点击目标实例ID,进入实例详情页。在左侧菜单栏,依次选择“数据安全性” > “TDE”页签。
-
启用TDE功能:
- 若当前状态显示为“未开通”,点击该状态旁边的开关或按钮开始启用过程。
- 在弹出的设置对话框中,您可以选择:
- 使用由阿里云自动生成的密钥,直接点击确定以快速启用TDE。
- 使用已有自定义密钥,则需从下拉菜单中选择已创建的密钥。如果没有现成的自定义密钥,需要先按照引导前往KMS控制台创建并导入密钥材料。
-
确认与应用: 完成上述选择后,点击确定,系统将自动执行加密操作。此过程可能涉及实例的重启,导致短暂的连接中断,请确保业务有重连机制,并尽量在业务低峰期进行操作。
注意事项强调
- 不可逆性:一旦开启TDE,该功能无法关闭,因此请在操作前做好充分评估。
- CPU使用率增加:启用TDE会显著增加数据库实例的CPU使用率,对性能有一定影响,请提前规划资源。
- 数据恢复考量:加密后的数据若需恢复到本地或其他非加密环境,必须先通过RDS解密。
- 备份与恢复:加密数据的物理备份不能直接用于未加密环境的恢复,建议采用逻辑备份方案。
以上步骤和要点基于提供的参考资料整理而成,旨在帮助您顺利启用RDS实例的透明数据加密功能,确保数据安全的同时,也请注意相关操作对系统性能及维护工作的影响。
