GaussDB(DWS) 数据库加密

在GaussDB(DWS) 中，您可以为集群启用数据库加密，以保护静态数据。当您为集群启用加密时，该集群及其快照的数据都会得到加密处理。您可以在创建集群时启用加密。加密是集群的一项可选且不可变的设置。要从未加密的集群更改为加密集群(或反之)，必须从现有集群导出数据，然后在已启用数据库加密的新集群中重新导入这些数据。数据库加密是在数据落盘时进行加密，即在往GaussDB(DWS) 写入数据时GaussDB(DWS) 会对数据进行加密，而在用户查询数据时GaussDB(DWS) 会将数据自动进行解密后再将结果返回给用户。

如果希望加密，可以在集群创建时启用加密。虽然加密是GaussDB(DWS) 集群中的一项可选设置，但我们建议您为集群启用该设置以保护数据。

• 数据库加密功能一旦开启就无法关闭。
• 开启数据库加密功能后，用于加密GaussDB(DWS) 数据库的KMS密钥在使用过程中不能被禁用、删除或冻结，否则会导致GaussDB(DWS) 集群异常或数据库不可用。
• 开启数据库加密功能后创建的快照不支持使用openAPI做恢复。

使用KMS服务加密GaussDB(DWS) 数据库

当选择KMS（密钥管理服务）对GaussDB(DWS) 进行密钥管理时，加密密钥层次结构有三层。按层次结构顺序排列，这些密钥为主密钥（CMK）、集群加密密钥 (CEK)、数据库加密密钥 (DEK)。

• 主密钥用于给CEK加密，保存在KMS中。
• CEK用于加密DEK，CEK明文保存在GaussDB(DWS) 集群内存中，密文保存在GaussDB(DWS) 服务中。
• DEK用于加密数据库中的数据，DEK明文保存在GaussDB(DWS) 集群内存中，密文保存在GaussDB(DWS) 服务中。

密钥使用流程如下：

1. 用户选择主密钥。
2. GaussDB(DWS) 随机生成CEK和DEK明文。
3. KMS使用用户所选的主密钥加密CEK明文并将加密后的CEK密文导入到GaussDB(DWS) 服务中。
4. GaussDB(DWS) 使用CEK明文加密DEK明文并将加密后的DEK密文保存到GaussDB(DWS) 服务中。
5. GaussDB(DWS) 将DEK明文传递到集群中并加载到集群内存中。

当该集群重启时，集群会自动通过API向GaussDB(DWS) 请求DEK明文，GaussDB(DWS) 将CEK、DEK密文加载到集群内存中，再调用KMS使用主密钥CMK来解密CEK，并加载到集群内存中，最后用CEK明文解密DEK，并加载到集群内存中，返回给集群。

加密密钥轮转

加密密钥轮转是指更新保存在GaussDB(DWS) 服务的密文。在GaussDB(DWS) 中，您可以轮转已加密集群的加密密钥CEK。

密钥轮转流程如下：

1. GaussDB(DWS) 集群启动密钥轮转。
2. GaussDB(DWS) 根据集群的主密钥来解密保存在GaussDB(DWS) 服务中的CEK密文，获取CEK明文。
3. 用获取到的CEK明文解密保存在GaussDB(DWS) 服务中的DEK密文，获取DEK明文。
4. GaussDB(DWS) 重新生成新的CEK明文。
5. GaussDB(DWS) 用新的CEK明文加密DEK并将DEK密文保存在GaussDB(DWS) 服务中。
6. 用主密钥加密新的CEK明文并将CEK密文保存在GaussDB(DWS) 服务中。

您可以根据业务需求和数据类型计划轮转加密密钥的时间。为了提高数据的安全性，建议用户定期执行轮转密钥以避免密钥被破解的风险。一旦您发现密钥可能已泄露，请及时轮转密钥。

• GaussDB(DWS) 轮转集群的CEK时，集群相关的快照不需要轮转CEK，因为CEK不会在集群快照中进行保存，CEK明文是保存在GaussDB(DWS) 集群内存中的，密文是保存在GaussDB(DWS) 服务中的。
• 由于密钥轮转不更新DEK，所以对于数据的加解密不会有影响。