更新时间:2024-09-25 GMT+08:00

服务端加密

服务端加密简介

云数据库RDS服务的管理控制台目前支持数据加密服务(Data Encryption Workshop,简称DEW)托管密钥的服务端加密,即使用数据加密服务提供的密钥进行服务端加密

数据加密服务通过使用硬件安全模块 (Hardware Security Module,简称HSM) 保护密钥安全的托管,帮助用户轻松创建和控制加密密钥。用户密钥不会明文出现在硬件安全模块之外,避免密钥泄露。对密钥的所有操作都会进行访问控制及日志跟踪,提供所有密钥的使用记录,满足监督和合规性要求。

当启用服务端加密功能后,用户创建实例和扩容磁盘时,磁盘数据会在服务端加密成密文后存储。用户下载加密对象时,存储的密文会先在服务端解密为明文,再提供给用户。

使用服务端加密方式加密磁盘

用户首先需要在数据加密服务中创建密钥(或者使用数据加密服务提供的默认密钥)。创建实例时,在“磁盘加密”项选择“加密”,选择或创建密钥,该密钥是最终租户密钥,使用该密钥进行服务端加密,使磁盘更安全。

  • 已通过统一身份认证服务添加云数据库RDS所在区域的KMS Administrator权限。权限添加方法请参见创建用户组并授权
  • 如果用户需要使用自定义密钥加密上传对象,则需要先通过数据加密服务创建密钥。目前云数据库RDS只支持对称密钥,具体操作请参见创建密钥
  • RDS购买磁盘加密后,在实例创建成功后不可修改磁盘加密状态,且无法更改密钥。选择“磁盘加密”,存放在对象存储服务上的备份数据不会被加密,如需开通备份数据加密,请联系华为云客服人员申请。
  • 设置了磁盘加密或备份数据加密后,提醒您保存好密钥,一旦密钥被禁用、删除或冻结,会导致数据库不可用,并且可能无法恢复数据,具体场景如下:
    • 针对磁盘加密,备份数据不加密的场景:可以通过备份恢复到新实例的方式恢复数据。
    • 针对磁盘加密,并且备份数据加密的场景:无法恢复数据。
  • 选择磁盘加密的实例,新扩容的磁盘空间依然会使用原加密密钥进行加密。