概述
名词解释
透明数据加密TDE(Transparent Data Encryption):对数据文件执行实时I/O加密和解密,数据在写入磁盘之前进行加密,从磁盘读入内存时进行解密。TDE不会增加数据文件的大小,研发人员无需更改任何应用程序,即可使用TDE功能。
密钥管理服务(Key Management Service,简称:KMS):是百度智能云提供的一款密钥管理服务,您可以通过该项服务便捷、安全、可靠地在云上管理密钥类信息。用户可以从繁杂的密钥设备管理和安全机制实现中解脱出来,只需要专注于业务上层的加解密功能场景。查看详情
产品优势
- 无须修改应用程序。
- 数据在写入磁盘之前进行加密。若磁盘上的数据被盗,没有密钥,无法获取数据。
前提条件
开通 TDE 前,需要满足以下条件:
- 实例类型及版本:支持MySQL 5.7版本的双机高可用版主实例、MySQL 5.7 的只读实例
- 前提条件:使用TDE,须开通主实例所在地域的密钥管理服务KMS
- 企业组织:主账户、子账户均可使用
- 绑定关系:主实例开通TDE后,只读实例跟随主实例开通
注意事项
- 地域限制:KMS开通地域须与主实例所在地域相同,当前仅支持华北-北京、华东-苏州、华南-广州这三个地域
- 开通后:无法克隆实例、创建或加入热活实例,无法关闭并且会显著增加CPU使用率,请您谨慎评估。
- 密钥ID:开通KMS服务后产生的密钥ID,在开通TDE后请勿禁用或删除
- 费用:TDE免费使用、KMS收费,详情请见KMS费用说明
开通 KMS 并创建密钥
步骤1:若您已开通KMS,可跳过此步骤,进行下一步。若您未开通KMS,请先开通KMS服务,具体可参考开通KMS。
步骤2:创建密钥
说明:关于KMS密钥的其他操作请见以下链接
- 禁用和启用密钥
- 计划删除密钥
开通 TDE
在实例列表页,选择一个MySQL 5.7 双机版主实例,点击实例名称,进入实例详情页。点击左侧导航栏的安全项,进入安全管理页面。点击页面上方页签中的TDE,进行开通服务。
开通前,系统会检查您的账号是否开启了KMS。开通KMS后,您可以进行TDE的开通。详情如下:
步骤1:进入TDE开通页面
步骤2:点击“去开通”按钮,选择一个密钥ID,点击“确定”按钮
步骤3:点击确定按钮后,可看到当前实例正在开通TDE
当红框中的状态变为“运行中”的时候,则表示TDE开通成功。
