Lindorm支援透明資料加密TDE(Transparent Data Encryption)功能。啟用TDE功能後,Lindorm通過密鑰層級結構對資料檔案進行加密,所有儲存在檔案系統中的資料都以密文形式存在。為提高資料安全性,您可以通過控制台啟用TDE功能,對執行個體資料進行加密。本文介紹啟用TDE功能的具體步驟。
前提條件
Lindorm執行個體的部署方案為單可用性區域,具體操作請參見建立執行個體。
已開通Key Management Service(Key Management Service),具體操作請參見開通Key Management Service。
已授權Lindorm訪問KMS,需要通過服務關聯角色擷取存取權限,具體操作請參見Lindorm服務關聯角色。
背景資訊
Lindorm的TDE功能支援AES演算法和SMS4演算法。TDE加密使用的密鑰由Key Management Service(KMS)產生和管理,KMS為您提供一個主要金鑰,通過該祕密金鑰加密資料密鑰,再通過資料祕密金鑰加密資料,這個流程叫做信封加密。在解密過程中先讀取資料密鑰密文,通過主要金鑰來解密資料密鑰密文得到資料密鑰明文,再通過資料密鑰明文來解密資料。KMS提供的主要金鑰是通過API建立的,如果您提供了密碼還可以對主要金鑰進行加密,保證主要金鑰的安全性。
注意事項
開通TDE的過程中,執行個體會重啟一次並出現串連閃斷,建議您在業務低峰期操作並確保應用有重連機制。
執行個體重啟和串連閃斷不會導致資料丟失。
TDE功能開啟後將無法關閉。
操作步驟
登入Lindorm控制台。
單擊目標執行個體ID,進入实例列表頁面。
選擇左側導覽列,預設開啟数据加密TDE頁面。
開啟当前状态:開關。
在开启TDE對話方塊中,選擇使用自动生成密钥或使用自定义密钥。
如果您選擇使用自动生成密钥,單擊確定,開通TDE。
如果您選擇使用自定义密钥,從设置密钥:列表中,選擇由Key Management Service(KMS)產生的密鑰,單擊確定,開通TDE。
說明如需使用自己傳入的自訂密鑰,請單擊管理密钥,在Key Management Service控制台建立密鑰並匯入內建的密鑰材料,詳情請參見建立密鑰。
後續步驟
開啟TDE後,您需要使用Lindorm-cli串連執行個體,具體操作請參見通過Lindorm-cli串連並使用寬表引擎,對Lindorm的表進行DDL操作才能使得資料加密,具體如下:
對於建立的表,建表時加上
WITH (FILEVERSION = 5, ENCRYPTION = AES)語句。CREATE table testsql (p1 varchar, p2 varchar, p3 bigint, c1 varchar, c2 double, constraint primary key (p1, p2, p3 desc)) WITH (FILEVERSION = 5, ENCRYPTION = AES);對於現存的表,您需要使用
ALTER關鍵字和WITH (FILEVERSION = 5, ENCRYPTION = SMS4)語句。ALTER table testsql WITH (FILEVERSION = 5, ENCRYPTION = SMS4) ;
FILEVERSION表示檔案版本,檔案版本設定為5才可以使用加密功能。ENCRYPTION表示密碼編譯演算法類型,取值為AES或SMS4。您可以通過
ENCRYPTION=NONE語句使得資料解密。您可以轉換密碼編譯演算法類型,例如由AES轉換為SMS4,但是此方法不推薦,執行操作如下:
通過
ENCRYPTION=NONE語句使得表的資料解密。對錶進行
major_compact操作並等待完成。通過
ENCRYPTION=SMS4語句設定資料加密類型為SMS4。