日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 云數據庫 RDS RDS PostgreSQL數據庫 操作指南 數據安全與加密 透明數據加密TDE 設置透明數據加密

設置透明數據加密

更新時間:
產品詳情
我的收藏

在安全合規或靜態數據加密等場景下,推薦使用透明數據加密TDE功能,對數據文件執行實時I/O加密和解密,通過在數據庫層執行靜態數據加密,阻止可能的攻擊者繞過數據庫直接從存儲中讀取敏感信息,有效提高數據庫中敏感數據的安全性。

前提條件

  • RDS PostgreSQL實例需滿足以下要求:

    • 實例大版本為PostgreSQL 10或以上版本。

    • 存儲類型為云盤。

    • 實例內核小版本為20221030或以上。查看內核小版本請參見升級內核小版本

    • 如果包含只讀實例,只讀實例也需滿足以上條件。

    說明

    如需升級內核小版本,請參見升級內核小版本

  • 已使用阿里云主賬號授權RDS訪問密鑰管理服務KMS(Key Management Service)。詳情請參見授權RDS訪問KMS

  • 已開通密鑰管理服務KMS(Key Management Service)。如果您未開通KMS,可在開通TDE過程中根據引導開通KMS。

注意事項

  • 如果包含只讀實例,請確保主實例和只讀實例內核小版本均升級到20221030以上,否則開通TDE加密會失敗。

  • TDE開通過程中會重啟實例造成實例切換,請做好業務安排,謹慎操作。實例切換的影響請參見實例切換的影響

  • TDE開通后無法關閉。

  • 開通TDE后,如果是I/O密集型(I/O bound)場景,可能會對數據庫性能產生一定影響。

  • TDE實例不支持用戶通過物理流復制自建備庫。

  • 如果密鑰管理服務KMS欠費,將會導致云盤無法解密,整個實例不可用,請確保KMS狀態正常。

  • 使用已有自定義密鑰時,需要注意:

    • 禁用或刪除了KMS的自定義密鑰,將會造成RDS實例無法正常工作,受影響的操作包括:創建快照、恢復快照和備庫重建等。

    • 撤銷授權關系后,重啟RDS實例會導致RDS實例不可用。

    • 需要使用主賬號或者具有AliyunSTSAssumeRoleAccess權限的賬號。

    說明

    關于密鑰的相關操作請參見密鑰管理服務

開通TDE加密

  1. 訪問RDS實例列表,在上方選擇地域,然后單擊目標實例ID。

  2. 在左側導航欄單擊數據安全性

  3. TDE頁簽單擊未開通左邊的滑塊。

  4. 選擇密鑰類型,單擊確定,開通TDE。

    • 使用由阿里云自動生成的密鑰:該方式使用的加密密鑰(KEK)為KMS的服務密鑰。

    • 使用已有自定義密鑰:該方式使用的加密密鑰(KEK)為您上傳至KMS的自定義密鑰(CMK)。如果沒有自定義密鑰,需要單擊前往創建,在密鑰管理服務控制臺創建密鑰并導入自帶的密鑰材料。詳情請參見創建密鑰

    說明

    加密原理請參見TDE加密解密原理

  5. (可選)更換密鑰。

    1. TDE頁簽單擊TDE狀態右側的更換密鑰

    2. 選擇使用由阿里云自動生成的密鑰使用已有自定義密鑰,選擇密鑰,單擊確定

使用TDE對表或索引進行加密或解密

實例級別開啟了TDE之后,您還需要對RDS PostgreSQL的表進行表級別的TDE加密解密操作。

說明

加密和解密會帶來性能損耗,請合理控制加密范圍以減少性能損耗。

加密

  • 全局設置

    您可以在RDS控制臺設置參數rds_default_table_encryptionON,當開啟此參數后,新建的表(CREATE TABLE)、索引(CREATE INDEX)將會默認加密。

    說明

    • 該參數僅適用于RDS PostgreSQL 13、14和15實例,如何修改參數,請參見設置實例參數

    • 如果未找到此參數,請升級內核小版本至最新后再嘗試。具體操作,請參見升級內核小版本

    • 如果您將參數rds_default_table_encryption的取值由ON修改為OFF,僅影響后續創建的表或索引,之前已創建默認加密的表和索引不受影響。

  • 指定表、索引加密

    • 表加密。

      -- 創建加密表
CREATE TABLE <tablename> WITH (encryption=on);

-- 修改表為加密類型
ALTER TABLE <tablename> SET (encryption=on);

    • 索引加密。

      -- 創建加密索引
CREATE INDEX <indexname> ... WITH (encryption=on);

-- 修改索引為加密類型
ALTER INDEX <indexname> SET (encryption=on);
      說明

      支持6種索引的加密:btree、hash、spgist、gin、gist和brin。

解密

說明

以下ALTER語句會觸發表或索引的重寫,類似VACUUM FULL,請勿在業務高峰期執行。

  • 解密加密表。

    ALTER TABLE <tablename> SET (encryption=off);

  • 解密加密索引。

    ALTER INDEX <indexname> SET(encryption=off);

查看表或索引的加密狀態

SELECT relname, reloptions FROM pg_class WHERE relname IN ('<tablename>', '<indexname>');

常見問題

  • 開啟TDE后,常用數據庫工具(pgAdmin等)還能正常使用嗎?

    可以正常使用。

  • 開啟TDE后,還能正常遷移數據到其他RDS實例嗎?

    可以正常遷移。

  • 加密后查看數據為什么還是明文的?

    查詢數據時會解密并讀取到內存,所以是明文顯示。開啟TDE可以防止備份泄露導致數據泄露,備份文件是加密的,無法用于恢復到本地,如果要恢復數據到本地,需要先解密數據。

相關文檔

  • 關于密鑰的相關操作請參見密鑰管理服務

  • 設置全局加密時,如何修改rds_default_table_encryption參數,請參見設置實例參數

  • RDS PostgreSQL提供rds_tde_utils插件,用于批量加密、解密索引、表、數據庫對象。

  • 如果您還需要對實例訪問鏈路進行加密,可以開啟SSL鏈路加密,具體操作請參見SSL鏈路加密

  • 如果您進需要對數據表中的指定敏感數據列進行加密,可以開啟全密態數據庫,加密后,敏感數據將以密文進行傳輸、計算和存儲。

  • 您還可以使用API開啟透明數據加密。

    API

    描述

    開啟TDE

    開啟RDS實例透明數據加密。