開啟透明數(shù)據(jù)加密(內(nèi)測中)
云原生多模數(shù)據(jù)庫 Lindorm支持透明數(shù)據(jù)加密TDE(Transparent Data Encryption)功能。啟用TDE功能后,Lindorm通過密鑰層級結(jié)構(gòu)對數(shù)據(jù)文件進(jìn)行加密,所有存儲在文件系統(tǒng)中的數(shù)據(jù)都以密文形式存在。為提高數(shù)據(jù)安全性,您可以通過控制臺啟用TDE功能,對實例數(shù)據(jù)進(jìn)行加密。本文介紹啟用TDE功能的具體步驟。
前提條件
云原生多模數(shù)據(jù)庫 Lindorm實例的部署方案為單可用區(qū),具體操作請參見創(chuàng)建實例。
已開通密鑰管理服務(wù)KMS(Key Management Service),具體操作請參見開通密鑰管理服務(wù)。
已授權(quán)Lindorm訪問KMS,需要通過服務(wù)關(guān)聯(lián)角色獲取訪問權(quán)限,具體操作請參見Lindorm服務(wù)關(guān)聯(lián)角色。
背景信息
云原生多模數(shù)據(jù)庫 Lindorm的TDE功能支持AES算法和SMS4算法。TDE加密使用的密鑰由密鑰管理服務(wù)(KMS)產(chǎn)生和管理,KMS為您提供一個主密鑰,通過該密鑰加密數(shù)據(jù)密鑰,再通過數(shù)據(jù)密鑰加密數(shù)據(jù),這個流程叫做信封加密。在解密過程中先讀取數(shù)據(jù)密鑰密文,通過主密鑰來解密數(shù)據(jù)密鑰密文得到數(shù)據(jù)密鑰明文,再通過數(shù)據(jù)密鑰明文來解密數(shù)據(jù)。KMS提供的主密鑰是通過API創(chuàng)建的,如果您提供了密碼還可以對主密鑰進(jìn)行加密,保證主密鑰的安全性。
注意事項
開通TDE的過程中,實例會重啟一次并出現(xiàn)連接閃斷,建議您在業(yè)務(wù)低峰期操作并確保應(yīng)用有重連機(jī)制。
實例重啟和連接閃斷不會導(dǎo)致數(shù)據(jù)丟失。
TDE功能開啟后將無法關(guān)閉。
操作步驟
登錄Lindorm控制臺。
單擊目標(biāo)實例ID,進(jìn)入實例列表頁面。
選擇左側(cè)導(dǎo)航欄 ,默認(rèn)打開數(shù)據(jù)加密TDE頁面。
打開當(dāng)前狀態(tài)開關(guān)。
在開啟TDE對話框中,選擇使用自動生成密鑰或使用自定義密鑰。
如果您選擇使用自動生成密鑰,單擊確定,開通TDE。
如果您選擇使用自定義密鑰,從設(shè)置密鑰列表中,選擇由密鑰管理服務(wù)(KMS)產(chǎn)生的密鑰,單擊確定,開通TDE。
說明如需使用自己傳入的自定義密鑰,請單擊管理密鑰,在密鑰管理服務(wù)控制臺創(chuàng)建密鑰并導(dǎo)入自帶的密鑰材料,詳情請參見創(chuàng)建密鑰。
后續(xù)步驟
開啟TDE后,您需要使用Lindorm-cli連接實例,具體操作請參見通過Lindorm-cli連接并使用寬表引擎,對Lindorm的表進(jìn)行DDL操作才能使得數(shù)據(jù)加密,具體如下:
對于新建的表,建表時加上
WITH (FILEVERSION = 5, ENCRYPTION = AES)
語句。CREATE table testsql (p1 varchar, p2 varchar, p3 bigint, c1 varchar, c2 double, constraint primary key (p1, p2, p3 desc)) WITH (FILEVERSION = 5, ENCRYPTION = AES);
對于現(xiàn)存的表,您需要使用
ALTER
關(guān)鍵字和WITH (FILEVERSION = 5, ENCRYPTION = SMS4)
語句。ALTER table testsql WITH (FILEVERSION = 5, ENCRYPTION = SMS4) ;
FILEVERSION
表示文件版本,文件版本設(shè)置為5才可以使用加密功能。ENCRYPTION
表示加密算法類型,取值為AES或SMS4。您可以通過
ENCRYPTION=NONE
語句使得數(shù)據(jù)解密。您可以轉(zhuǎn)換加密算法類型,例如由AES轉(zhuǎn)換為SMS4,但是此方法不推薦,執(zhí)行操作如下:
通過
ENCRYPTION=NONE
語句使得表的數(shù)據(jù)解密。對表進(jìn)行
major_compact
操作并等待完成。通過
ENCRYPTION=SMS4
語句設(shè)置數(shù)據(jù)加密類型為SMS4。