Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Data Encryption Workshop/ Melhores práticas/ Serviço de gerenciamento de chaves/ Uso do KMS para criptografar e descriptografar dados para serviços em nuvem/ Criptografia de uma instância de banco de dados do DDS
Atualizado em 2024-09-14 GMT+08:00
Ver PDF
Compartilhar

Criptografia de uma instância de banco de dados do DDS

Visão geral

Depois que a criptografia for ativada, os dados do disco serão criptografados e armazenados no servidor quando você criar uma instância de banco de dados ou expandir a capacidade do disco. Quando você baixa objetos criptografados, os dados criptografados serão descriptografados no servidor e exibidos em texto não criptografado.

Restrições

  • O direito de KMS Administrator deve ser adicionado na região do RDS usando o IAM. Para obter detalhes sobre como atribuir permissões a grupos de usuários, consulte. "Como gerenciar grupos de usuários e conceder permissões a eles?" no Guia de usuário do Identity and Access Management.
  • Para usar uma chave definida pelo usuário para criptografar objetos a serem carregados, crie uma chave usando DEW. Para obter detalhes, consulte Criação de uma CMK.
  • Depois que a função de criptografia de disco estiver ativada, você não poderá desativá-la ou alterar a chave após a criação de uma instância de banco de dados. Os dados de backup armazenados no OBS não serão criptografados.
  • Depois que uma instância de banco de dados do DDS (Document Database Service) for criada, não desative ou exclua a chave que está sendo usada. Caso contrário, o DDS não estará disponível e os dados não poderão ser restaurados.
  • Se você ampliar uma instância de BD com discos criptografados, o espaço de armazenamento expandido será criptografado usando a chave de criptografia original.

Uso do KMS para criptografar uma instância de BD (no console)

Ao comprar uma instância de banco de dados no DDS, você pode definir Disk Encryption como Enable e usar a chave fornecida pelo KMS para criptografar o disco da instância de banco de dados. Para obter mais informações, consulte Compra de uma instância de cluster.

Figura 1 Criptografia de dados no DDS

Uso do KMS para criptografar uma instância de banco de dados (por meio de uma API)

Você também pode chamar a API necessária do DDS para comprar instâncias de banco de dados criptografadas. Para obter detalhes, consulte Referência de API do Document Database Service.