云數據庫 Tair(兼容 Redis)支持透明數據加密TDE(Transparent Data Encryption),可對RDB數據文件執行加密和解密。您可以通過控制臺啟用TDE功能,對RDB數據進行自動加密和解密,以滿足提升數據安全性及合規需要。
前提條件
實例存儲介質為Tair(企業版)內存型。
實例部署模式為經典(原本地盤)。
實例的小版本為1.7.1及以上,升級方法請參見升級小版本。
背景信息
云數據庫 Tair(兼容 Redis)的TDE功能可以將RDB數據文件在寫入磁盤之前進行加密,從磁盤讀入內存時進行解密,具有不額外占用存儲空間、無需更改客戶端應用程序等優勢。
圖 1. TDE加密
影響
由于開啟TDE功能后無法關閉,在開啟前,需要評估對業務的影響,具體如下:
暫不支持遷移可用區操作。
暫不支持離線全量Key分析操作。
暫不支持將該實例轉換為全球分布式實例。
暫不支持通過DTS執行遷移或同步數據。
注意事項
操作步驟
訪問實例列表,在上方選擇地域,然后單擊目標實例ID。
在左側導航欄,單擊TDE設置。
打開TDE狀態右側的開關。
說明如果小版本過低,該開關將處于不可單擊狀態,查看及升級小版本的方法,請參見升級小版本與代理版本。
在彈出的對話框中,選擇使用自動生成密鑰或使用自定義密鑰,然后單擊確定。
圖 2. 開啟TDE選擇密鑰
說明如果您的阿里云賬號首次為實例開啟TDE功能,請根據頁面彈出的提示完成授權(授權的角色為AliyunRdsInstanceEncryptionDefaultRole),授權完成后才可以使用相關密鑰服務。
關于自定義密鑰的創建方法,請參見創建密鑰。
設置完成后,實例狀態改為TDE修改中,當實例狀態轉變為運行中表示操作完成。
相關API
API接口 | 說明 |
為實例開啟透明數據加密TDE功能,支持自定義或自動生成密鑰。 | |
查詢實例是否開啟了TDE加密功能。 | |
查詢實例的TDE加密功能可使用的自定義密鑰列表。 | |
查詢實例的透明數據加密TDE自定義密鑰的詳情。 | |
查詢實例是否已被授權使用KMS密鑰服務。 |
常見問題
Q:下載了加密后的RDB數據文件,如何進行解密?
A:目前無法解密,您可以將備份集恢復至新實例,恢復完成后,數據即完成自動解密。
Q:為什么客戶端讀取到的數據還是明文顯示的?
A:加密的對象是數據落盤文件(即RDB備份文件),而查詢數據時讀取的是內存數據(未被加密),所以是明文顯示。