PolarDB-X 2.0的全密態資料庫並非在資料庫自身的控制台完成,而是統一通過資料資訊安全中心DSC(Data Security Center)進行配置和管理。這種方式旨在提供集中、一致的資料安全治理體驗。整個過程涉及授權DSC、串連資料庫資產,並最終定義加密規則。
前提條件
執行個體版本:大於等於
polardb-2.5.0_5.4.20-20250714_xcluster8.4.20-20250703。執行個體所在地區:
地區類型
地區名稱
中國內地
華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華東1(杭州)、華東2(上海)、華南1(深圳)、華南3(廣州)、西南1(成都)。
非中國內地
中國香港、新加坡(新加坡)、馬來西亞(吉隆坡)、印尼(雅加達)、德國(法蘭克福)。
計費說明
全密態資料庫功能本身不收取額外費用。
但該功能依賴資料資訊安全中心(DSC)進行加密配置和管理,您需要購買DSC並確保擁有足夠的列加密授權配額。詳細計費資訊,請參見計費概述。
功能簡介
PolarDB-X 2.0的全密態資料庫功能由資料資訊安全中心DSC提供,對應資料資訊安全中心DSC的列加密功能,其採用AES-128-GCM和SM4-128-GCM密碼編譯演算法和本地密鑰的加密方式,可對資料庫中的敏感性資料列進行加密配置,確保敏感性資料加密後儲存,並支援已授權使用者通過全密態用戶端解密後訪問明文資料,您可以自行選擇與修改待加密的PolarDB-X 2.0、庫、表及列範圍。
準備工作
在開啟列加密功能前,您需要依次完成以下步驟:開通或升級DSC服務、授權DSC訪問雲資源、授權資料庫資產、串連資料庫並執行敏感性資料識別任務。
1.開通或升級DSC服務
2.授權DSC訪問雲資源
3.資料庫資產同步
4.開啟分類分級
實現列加密功能,您需要先授權資料庫連接,並完成資料識別任務。
在左側導覽列,選擇资产中心。
在左側結構化資料地區,單擊需要配置列加密的資料類型。
單擊目標資產執行個體分類分級列的
。說明請確保資料庫執行個體已建立資料庫,且实例状态為運行中。若未建立資料庫,則無法啟用分類分級功能,也無法建立相應的識別任務。
在开启分类分级對話方塊中,按照如下內容進行配置。
配置項
說明
开启方式
配置您串連資料庫進行資料檢測的帳號資訊。支援兩種配置方式:
自动创建数据库账号:DSC會自動在目標資料資產中建立一個以
sddp_auto開頭的唯讀帳號,通過該帳號串連目標資料庫進行資料識別任務。說明僅對支援一鍵開啟功能的資料類型,可以選擇此方式。
手动输入账号密码:配置您串連資料庫的帳號密碼。
授权范围
授權進行資料檢測的範圍。
整个数据源。
在数据源列表管理授权范围:選擇授權範圍。
自动创建系统默认任务开始扫描
選中後DSC會在資料庫連接成功自動後建立預設掃描任務。
您可以在頁簽中,單擊系統默認任務,查看掃描任務執行情況。具體操作,請參見通過識別任務掃描敏感性資料。
实例下新增数据库,自动连接
選中後當DSC進行手動或自動資產同步後,檢測到您的資料庫執行個體中存在新增資料庫,會自動連接。
配置完成後,單擊確定。
5.查看待加密資料庫資訊
資料識別任務掃描完成後,查看已成功接入DSC的資料庫執行個體資訊,包括總列數、列加密情況、資料庫帳號資訊等。
在左側導覽列,選擇。
在列加密頁面查看以下資訊。您可通過資料庫列表上方的搜尋組件,例如資產類型、加密狀態(已加密列、未加密列或加密失敗)、敏感等級等搜尋並查看目標資料庫執行個體資訊。
頁面資訊
說明
總列數
已成功接入DSC的資料庫執行個體自主資料庫表中的總列數。
敏感数据(S3及以上)
資料識別結果中敏感等級為S3及以上的列。其中包含敏感列,已加密列,未加密列,加密失敗等資訊。
账号数据
总账号数:每個資料庫的每個帳號計為一個資料庫帳號,例如:A資料庫和B資料庫均有帳號C,則資料庫帳號數計為兩個。
未配置加密:資料庫中所有列都未開啟加密時,帳號許可權為未配置加密。
明文权限或密文权限數:開啟資料庫的列加密時,可設定資料庫帳號訪問加密列資料的許可權。
您可以單擊以上統計項的任一數字或單擊权限设置,在账号权限设置面板,搜尋並查看目標資料庫執行個體下的所有帳號資訊,以確認為不同資料庫帳號設定不同存取權限。
列表資訊
展示DSC實例名稱、資產類型、地域、加密算法、明文权限账号、加密检查等資訊。
僅支援對加密檢查通过的執行個體配置列加密。
加密检查結果為“未通過”。如果資料庫版本不相容,請先單擊加密检查列的前往升级,跳轉到RDS或PolarDB控制台對應的升級頁面,升級資料庫版本。具體操作請參見檢查失敗常見問題。
完成版本升級或狀態更新後,您需要在DSC控制台完成資產同步操作,同步資料庫最新資訊。
在左側導覽列,選擇资产中心。,然後在資產管理頁簽,單擊資產授權管理。
在資產授權管理面板左側產品名稱導覽列,單擊目標執行個體類型(RDS或PolarDB),然後單擊資產同步。
開啟列加密
確認目標資料庫執行個體資訊且加密检查顯示通过後,完成列加密配置。
單擊資料庫執行個體列表上方的一键加密,為所有未加密列配置列加密。或者您也可以單擊目標資料庫執行個體對應操作列的一键加密,為目標資料庫執行個體配置列加密。
在加密配置面板,選擇待加密的資產類型、實例名稱、加密算法、加密方式、明文权限账号以及選擇需要配置列加密的目標库、錶和列,然後單擊確定。您需要注意以下事項:
資料資訊安全中心DSC支援多種密碼編譯演算法,但PolarDB-X 2.0當前僅支援
AES-128-GCM和SM4-128-GCM密碼編譯演算法和本地密鑰的加密方式。完成加密配置後,PolarDB-X 2.0資料庫帳號預設許可權為密文权限(JDBC解密),預設訪問加密列的密文資料,支援通過用戶端代碼使用本地密鑰解密後查看原始明文資料。
如您需要直接存取明文資料,可以在明文权限账号處添加相應的資料庫帳號,該帳號擁有明文許可權,可以直接存取加密列的明文資料。
重要如您需要對資料庫內的最新資料進行敏感性資料分類分級,則被設定為憑據的資料庫帳號(串連DSC與PolarDB-X 2.0叢集時使用的資料庫帳號)需要擁有明文許可權。
修改列加密配置
修改加密列範圍
開啟列加密後,您可以根據自身需求,單獨開啟或關閉資料庫執行個體內指定列的列加密功能,實現加密列範圍的修改。
在左側導覽列,選擇。
在執行個體列表展開目標執行個體,在資料庫列表,找到目標库、錶和列名稱,單擊开启加密或关闭加密,配置單列加密。
修改資料庫帳號許可權
除了已設定為明文权限的帳號,資料庫執行個體的其他帳號均為密文权限(JDBC解密)。您可以根據業務情境需要,修改帳號許可權為明文权限或密文权限(JDBC解密)。
在頁面,單擊账号数据地區的权限设置。
您也可以在執行個體列表的操作列,單擊編輯,在编辑配置面板中,單擊賬號權限的配置。
在账号权限设置面板,搜尋目標執行個體和帳號,查看當前帳號許可權。
說明若新增資料庫帳號未在列表中顯示,請先完成資產同步後再查看。
單擊目標帳號對應操作列的修改权限。
您也可以選中多個具備相同許可權的目標帳號,單擊列表下方的批量修改权限。
在修改許可權對話方塊,選中目標許可權,單擊確定。
驗證列加密結果
您可以根據已設定資料庫列加密和資料庫帳號許可權,驗證訪問加密列的資料。
列加密功能對第三方用戶端未完全相容(例如:通過 Data Management(Data Management)查看已加密資料可能異常),建議使用列加密驅動(JDBC)用戶端訪問加密資料。
例如,對測試PolarDB-X 2.0叢集中students01表的birth_date列進行了加密處理。同時,將叢集內的一個資料庫帳號使用權限設定為明文权限,另一個帳號保持密文权限(JDBC解密)。
使用帶有密文权限(JDBC解密)的帳號串連資料庫,執行
SELECT * FROM students01;語句查看資料表,加密列會返回密文資料。
使用帶有明文权限的帳號串連資料庫,執行
SELECT * FROM students01;語句查看資料表,加密列會返回明文資料。
用戶端使用說明
如果您的資料庫帳號許可權為密文許可權(JDBC解密),您可以使用列加密驅動(JDBC)接入PolarDB-X 2.0叢集,通過Java應用程式訪問資料庫中加密的列資料。JDBC能夠自動完成密文資料的解密並返回明文資料,過程對應用透明。具體內容,請參見列加密驅動(JDBC)。
常見問題
相關內容
資料庫列加密的功能和原理,請參見列加密概述。
如果授權後資料庫敏感列資料發生變化,需重新掃描。具體操作,請參見通過識別任務掃描敏感性資料。