操作场景
关系数据库MySQL版服务支持设置透明数据加密TDE,在数据落盘时对数据进行加密,从而保证数据的安全性,用户业务对此加密过程无感知。TDE属于试用阶段,暂不建议进行商用。
约束限制
1.主实例开启TDE后,主实例的所有只读实例会跟随开启TDE。
2.只读实例不支持单独开启TDE。
3.开启TDE需要用户已开启天翼云KMS服务,请确保已开启天翼云KMS服务。
4.开启TDE后,若用户首次首个实例开启TDE,会帮用户创建一个用户主密钥,该用户主密钥不可删除,否则会导致TDE不可用,数据丢失!
5.目前仅主账号支持开启TDE,子账号没有开启TDE权限。
6.开启TDE后,可能会影响内核大版本升级,内核小版本升级,迁移可用区等功能。
操作步骤
- 天翼云官网首页右上角选择控制中心,登录进入控制中心界面。
- 控制中心产品概览页左上角单击管理控制台,选择区域。
- 选择“数据库 > 关系数据库MySQL版”。进入关系数据库MySQL版控制台。
- 在“实例管理”页面,单击对应的实例名称。
- 在“TDE”页面,单击“TDE状态”旁的开关,开启TDE。
- 单击“确定”,开启TDE。
加密或解密表
说明请确保已成功开启实例级别的TDE加密功能。
开启TDE后,常用数据库工具仍能正常使用。
由于查询表数据时会解密并读取到内存中,因此查询加密的数据时结果仍是明文数据。开启TDE后,备份文件是加密后的密文数据,可以防止备份泄漏导致数据泄漏。
- 连接目标实例。
- 执行如下命令对表进行加密或解密,tableName 为需要加密或解密的表名。
- 加密
alter table tableName encryption='Y';
- 解密
alter table tableName encryption='N';
- 加密