开启透明数据加密
下载
聚焦模式
字号
操作场景
TDSQL Boundless 提供透明数据加密(Transparent Data Encryption,TDE)功能。透明加密指数据的加解密操作对用户透明,支持对数据文件进行实时 I/O 加密和解密,在数据写入磁盘前进行加密,从磁盘读入内存时进行解密,可满足静态数据加密的合规性要求。
密钥管理说明
透明数据加密功能不会额外收费,但密钥管理系统会产生额外费用,请参见 计费概述。
当前版本仅支持使用腾讯云自动生成的密钥,暂不支持使用自定义密钥。
密钥管理系统仅支持预付费的计费模式。对于新购密钥管理系统(预付费版)的用户,当账号处于欠费状态时,由于密钥管理系统已经预付费了一定周期,在此周期内,不会影响获取 KMS 密钥,迁移、升级等任务不会受此影响。请注意 KMS 密钥续费时间,如果到期后 KMS 密钥没有续费,也会影响透明数据加密功能的使用,管理 KMS 密钥可前往 密钥管理系统控制台。
TDSQL Boundless 实例和密钥管理系统支持的地域情况不同,在创建密钥时,若密钥管理系统上无境内对应的地域,您可选择在广州地域创建,若无境外对应的地域,您可选择在中国香港地域创建。
限制条件
实例形态必须为预置资源;数据库模式必须为兼容 MySQL 8.0;内核版本须为 V21.6.2.0 及以上版本。
透明数据加密仅支持在创建实例时开启,实例创建后不支持开启或关闭。
当前版本仅支持 AES 加密算法。
已开通 KMS 服务。如未开通,可在创建实例时根据引导开通 KMS。
已授予 KMS 密钥权限。如未授予,可在创建实例时根据引导进行授权。
操作账号需具有授予服务相关角色
TDMYSQL_QCSLinkedRoleInKMS 的权限。如未授予,可在创建实例时根据引导进行授权。注意事项
使用透明数据加密功能时,请确保所选 KMS 密钥处于正常使用状态,否则将无法从 KMS 获取密钥,可能导致迁移、升级等任务无法正常进行。
撤销 KMS 授权后,实例一旦重启,将因无法获取密钥导致数据库不可用,请务必保留授权关系。
TDE 加密功能开通后无法关闭。
开启 TDE 加密功能后,可提高静态数据的安全性,但同时会影响访问加密数据库的读写性能,请结合实际情况选择开启 TDE 加密功能。
创建灾备实例时,若主实例已开启 TDE,灾备实例会自动开启加密,无需单独操作。
开启 TDE 加密功能后,会增加 CPU 资源的消耗,性能损耗预计在5%以内。
开启 TDE 加密功能后,经过数据库身份验证的应用和用户可以透明地访问应用数据。
开启 TDE 加密功能后,备份压缩效果可能降低。
实例开启透明加密后,实例落盘数据及备份文件将自动加密。
操作步骤
创建实例时开启透明数据加密
1. 登录 TDSQL Boundless 控制台,进入实例购买页,开启 TDE,更详细请参见 创建实例。
2. 开启 KMS 服务。KMS 的服务状态包括以下两种:
未开启:首次开启 KMS 服务,可单击去开启,在新开的页面中,开启 KMS 服务。
已开启:无需操作。
3. 授权 KMS 密钥服务。KMS 密钥服务的授权状态包括以下两种:
未授权:首次授权 KMS 密钥服务,可单击服务授权,为 TDSQL Boundless 授权对 KMS 密钥服务的访问权限,透明数据加密的加密密钥由 KMS 托管,实例在加密/解密数据时需要调用 KMS 接口获取或创建密钥,因此必须建立跨服务访问授权。创建服务角色 TDMYSQL_QCSLinkedRoleInKMS(服务相关角色)和预设策略 QcloudAccessForTDMYSQLLinkedRoleInKMS 仅用在 TDSQL Boundless 访问 KMS 时生效,不会用于访问您的其他云资源。
已授权:无需操作。
4. 选择密钥:默认使用腾讯云自动生成密钥。
说明:
目前透明数据加密仅支持腾讯云自动生成密钥,未来即将支持自定义密钥,敬请期待。
查看加密状态与密钥信息
1. 登录 TDSQL Boundless 控制台,在实例列表,单击目标实例 ID,进入实例管理页面。
2. 选择数据安全 > 数据加密页签,进入数据加密页面。
3. 在数据加密设置区域,可查看当前实例的加密状态。
4. 在密钥列表区域可查看密钥信息,包括密钥 ID/名称、状态、创建时间、密钥用途及密钥来源。
密钥状态说明
CMK 密钥状态
密钥列表中的状态字段反映 KMS 密钥的实时运行状态,具体说明如下。
状态 | 说明 | 影响 |
正常 | KMS 密钥处于 Enabled 状态,可正常使用。 | 加密、解密、迁移、升级等任务正常进行。 |
密钥不可访问 | KMS 密钥被禁用(Disabled),或 CAM 角色授权被撤销。 | 实例仍可正常运行,但迁移、升级等任务将无法正常进行。 |
密钥待删除 | KMS 密钥处于 PendingDelete 状态,即将被销毁。 | 实例仍可正常运行,但迁移、升级等任务将无法正常进行。 |
密钥不可访问保留期
当密钥变为密钥不可访问或密钥待删除状态时,系统会启动保留期机制。
保留期为7天(从密钥状态变更时间开始计算)。
保留期内,实例仍可正常运行,但迁移、升级等依赖 KMS 密钥的任务将无法正常进行。
保留期到期后,实例将不可用。请在保留期内及时恢复密钥状态或做好数据备份。
常见问题
为什么开启 TDE 加密后,密钥列表无密钥信息?
请检查 KMS 服务状态及账号余额,可能原因如下:
KMS 服务未正常开通或处于异常状态。
账号已欠费,导致 KMS 服务无法访问。
TDSQL Boundless 实例或密钥管理系统存在到期未付费情况。
请确认以上情况均正常后,刷新页面重试。
为什么开启 TDE 加密后,密钥状态显示异常?
当密钥状态显示为密钥不可访问或密钥待删除时,请按以下步骤排查:
前往 密钥管理系统控制台,确认对应的 KMS 密钥未被禁用或计划删除。
确认账号未欠费,且 KMS 服务可正常使用。
确认 CAM 角色
TDMYSQL_QCSLinkedRoleInKMS 的授权未被撤销。处理完成后,密钥状态将自动恢复为正常。
文档反馈