转加密集群
GaussDB(DWS)支持在控制台对未加密的集群,在集群状态为“可用”的情况下转为加密集群。为了保障数据的安全,由于转加密集群是不可逆的高危操作,会重启集群,可能会导致有业务短暂不可用,用户请谨慎操作。
如果当前控制台界面不支持该功能,请联系技术支持人员。
创建KMS委托
操作场景
转加密集群前需要用户提前创建好授权给GaussDB(DWS)具有KMS Administrator权限的委托。
操作步骤
- 鼠标移动至页面右上角账号,单击“统一身份认证”,进入统一身份认证服务页面。
- 在左侧导航栏单击“委托”,在委托页面右上角单击“创建委托”。
- 创建委托时委托类型选择“云服务”,云服务选择“DWS”。
- 单击“完成”后,在弹窗中单击“立即授权”对委托授予KMS服务的“KMS Administrator”权限。
- 单击“下一步”,选择授权资源范围为“所有资源”或需要访问的资源,然后确认无误后提交。
操作步骤
- 登录GaussDB(DWS)管理控制台,在左侧导航栏中,选择“集群 > 专属集群”。
- 集群列表中,在指定集群所在行操作列选择“更多 > 转加密集群”。
- 在弹出选择框中,选择密钥源、密钥名称和加密算法,将集群转成加密集群。
- 方式一:从密钥中选择密钥名称。用户可通过创建共享操作,共享给其他成员KMS资源。被共享成员接受共享邀请后即可在密钥源中选择共享的KMS资源。
图1 从密钥中选择
- 方式二:输入密钥ID。输入在KMS侧给当前租户进行授权的KMS密钥ID,详情请参见查看密钥。
当跳转至KMS侧创建授权时被授权对象必须是账号,不能是用户。并且授权操作必须至少包含“查询密钥信息”、“加密数据”、“解密数据”3项权限。
图2 输入密钥
表1 参数说明 参数
参数说明
密钥源
用户可选择从密钥中选择密钥名称或直接输入密钥。
加密算法
加密算法包含:
- AES256(通用加密算法,不支持SM系列商密算法)
- SM4(支持SM系列商密算法,兼容国际通用算法)
- 数据库加密功能一旦开启就无法关闭。
- 开启数据库加密功能后,用于加密GaussDB(DWS)数据库的KMS密钥在使用过程中不能被禁用、删除或冻结,否则会导致GaussDB(DWS)集群异常或数据库不可用。
- 开启数据库加密功能后创建的快照不支持使用openAPI做恢复。
- 默认情况下,只有华为云账号或拥有Security Administrator权限的用户才具备查询委托和创建委托的权限。账号中的IAM用户,默认没有查询委托和创建委托的权限,此时需联系有权限的用户在当前页面完成对GaussDB(DWS)的委托授权。
- 方式一:从密钥中选择密钥名称。用户可通过创建共享操作,共享给其他成员KMS资源。被共享成员接受共享邀请后即可在密钥源中选择共享的KMS资源。
- 转换后用户可单击集群名称,进入“集群详情”页面查看,详情请参见查看数据库加密信息。