功能介绍
TDSQL Boundless 数据库基于腾讯云企业级的 密钥管理服务 KMS 提供透明数据加密(Transparent Data Encryption,TDE)功能。 KMS 是腾讯云一项保护数据及密钥安全的密钥服务,服务涉及的各个流程均采用高安全性协议通信,保证服务高安全,提供分布式集群管理和热备份,保证服务高可靠和高可用。
KMS 采用的是两层密钥体系,涉及两类密钥:主密钥(Master Key) 与数据密钥(Data Key)。用户通过腾讯云 KMS 创建并管理用户主密钥(CMK),数据密钥由 TDSQL 生成,是实际用于加密的密钥。所有数据密钥以密钥清单(Key Manifest)形式,由用户主密钥采用 AES-256-GCM 对称加密算法整体加密后落盘。通过两层密钥体系,确保磁盘上的静态数据均处于加密状态;数据密钥默认每7天自动轮换,历史密钥被保留以支持旧文件的解密。
支持版本
TDSQL Boundless V21.6.2.0及以上版本。
适用场景
透明数据加密指数据的加解密操作对用户透明,支持对数据文件进行实时 I/O 加密和解密,在数据写入磁盘前进行加密,从磁盘读取到内存时进行解密,可满足静态数据加密的合规性要求。
使用说明