全部產品
Search

搜尋本產品

    ApsaraDB RDS:通過控制台配置列加密規則

    文件中心

    ApsaraDB RDS:通過控制台配置列加密規則

    更新時間:Sep 26, 2025

    本文介紹在使用列加密(全密態)功能時,如何通過RDS控制台設定列加密規則及相關使用者角色許可權。

    前提條件

    • RDS MySQL執行個體的大版本為MySQL 5.7或8.0,且核心小版本大於等於20240731。

      說明

      如何升級核心小版本,請參見升級核心小版本

    • 已開通全密態功能

    • 配置資料保護規則的帳號必須是高許可權帳號。

    功能介紹

    列加密配置包含兩個核心部分:

    • 列加密規則:定義需加密的資料列範圍(按庫、表、欄位)。

    • 角色使用權限設定:控制不同資料庫帳號對明文或密文資料的訪問能力。

    在配置列加密規則前,強烈建議先為必要帳號配置明文查看許可權

    • 在未對資料庫帳號進行具體角色許可權分配的情況下,系統將預設所有資料庫帳號為其他管理員(查看密文)

    • 若未配置角色許可權,但直接設定了列加密規則,可能導致業務系統出現亂碼或訪問異常。

    注意事項

    • 資料保護規則一旦配置生效,在目標資料庫執行個體範圍內全域有效,不需要重複配置。

    • 建議使用不同的資料庫帳號,分別用於管理規則和線上應用,如無必要不應使線上應用具備系統管理權限。

    • 請謹慎授予對全密態中繼資料表的讀寫權限,否則使用者可能通過修改全密態中繼資料表內容而繞過全密態安全防護。

    操作步驟

    1. 訪問RDS執行個體列表,在上方選擇地區,單擊目標執行個體ID。

    2. 在左側導覽列,單擊資料安全性

    3. 單擊列加密頁簽,進行角色許可權和列加密規則配置。

    配置或修改角色許可權

    1. 選擇角色使用權限設定頁簽,根據角色許可權,單擊對應操作列的配置帳號修改帳號

      說明

      角色許可權說明如下:

      • 超級管理員:可查看所有敏感性資料的明文內容。

      • 營運管理員:具有密文查看敏感性資料的許可權。該角色可自訂專屬密鑰,實現資料的即時加解密操作。

      • 其他管理員:無權訪問。僅可查看密文,且無法對資料進行解密。

    2. 配置帳號頁面配置以下參數,並單擊確定

      您可根據當前操作需求靈活調整使用者權限。例如,可多次訪問配置帳號介面執行操作,先將使用者a配置為超級管理員,再將使用者b配置為超級管理員,兩次配置都會成功。如果您需要取消某個使用者的許可權,您需要將其配置為其他管理員。

      參數

      是否必填

      說明

      到期時間

      僅當角色名稱為超級管理員時,有此參數。

      當到期時間到達時,相應的超級管理員權限會被重設為預設的其他管理員(無權訪問)許可權。

      關聯帳號

      從下拉式清單中選擇一個或多個已存在的資料庫帳號。

      自訂賬戶

      類似關聯帳號,您需手動輸入一個或多個資料庫帳號名,多個帳號間用英文逗號(,)分隔。

    新增或修改列加密規則

    1. 選擇列加密規則頁簽,單擊新增或已有規則操作列的修改

    2. 在彈窗頁面配置以下參數,並單擊確定

      參數

      是否必填

      說明

      規則名稱

      加密規則的名稱,長度不超過30個字元。建立後不可更改,如需調整名稱,需刪除原規則後重新建立。

      資料庫名

      需要應用當前規則的資料庫名稱。應用範圍如下:

      • 所有資料庫:規則作用於執行個體內全部資料庫。

      • 包含:僅作用於指定資料庫,需填寫一個或多個資料庫名,多個資料庫名間用英文逗號(,)分隔。

      表名

      需要應用當前規則的資料表名稱。應用範圍如下:

      • 所有資料表:規則作用於當前範圍內的所有表。

      • 包含:僅作用於指定表,需填寫一個或多個資料表名,多個表名間用英文逗號(,)分隔。

      欄位名

      需要應用當前規則的欄位名稱。應用範圍如下:

      • 所有資料列:規則作用於當前範圍內的所有欄位。

      • 包含:僅作用於指定欄位,需填寫一個或多個欄位名,多個欄位名間用英文逗號(,)分隔。

    刪除列加密規則

    列加密頁簽下,單擊列加密規則,選擇需要刪除的規則,單擊刪除