初始化密钥 在初次使用加密功能前，用户需要初始化密钥。 数据库加密与访问控制的密钥包括根密钥（RK）、数据源密钥（DSK）和数据加密密钥（DEK），具体说明如初始化密钥所示。 表1 密钥种类说明 密钥种类 说明 根密钥（RK） 初始化密钥后生成，不对外暴露。 数据源密钥（DSK）

查看更多 →

作。 使用KMS加密DWS数据库流程 当选择KMS对DWS进行密钥管理时，加密密钥层次结构有三层。按层次结构顺序排列，这些密钥为主密钥（CMK）、集群加密密钥 (CEK)、数据库加密密钥 (DEK)。 主密钥用于给CEK加密，保存在KMS中。 CEK用于加密DEK，CEK明文保存

查看更多 →

(CEK)、数据库加密密钥 (DEK)。 主密钥用于给CEK加密，保存在KMS中。 CEK用于加密DEK，CEK明文保存在 GaussDB (DWS)集群内存中，密文保存在GaussDB(DWS)服务中。 DEK用于加密数据库中的数据，DEK明文保存在GaussDB(DWS)集群内存中，密文保存在GaussDB(DWS)服务中。

查看更多 →

防止任何没有密钥的人使用这些数据，但这种保护必须事先计划。GaussDB(DWS)提供了完整的解决方案TDE。 TDE可对数据实时I/O加密和解密，只要打开透明加密开关，对正常使用的用户是无感知的。 这种加密使用数据库加密密钥 (DEK)，该密钥不会直接存储在数据库系统中。 DE

查看更多 →

on：开启透明数据加密功能。 off：关闭透明数据加密功能。 默认值：off tde_cmk_id 参数说明：透明数据加密功能使用的数据库实例主密钥CMK的ID编号，由使用的密钥管理服务KMS生成。数据库实例主密钥CMK用于对数据加密密钥DEK进行加密保护，当前需要对DEK进行解密时，

查看更多 →

取值范围：布尔型。 on：开启透明数据加密功能。 off：关闭透明数据加密功能。 默认值：off tde_cmk_id 参数说明：透明数据加密功能使用的集群主密钥CMK的ID编号，由使用的密钥管理服务KMS生成。集群主密钥CMK用于对数据加密密钥DEK进行加密保护，当前需要对DEK进行解密时，需要

查看更多 →

thout-plaintext kms:dek:create - √ √ 加密数据密钥 POST /v1.0/{project_id}/kms/encrypt-datakey kms:dek:crypto - √ √ 解密数据密钥 POST /v1.0/{project_id}/kms/decrypt-datakey

查看更多 →

加密数据密钥 功能介绍 功能介绍：加密数据密钥，用指定的主密钥加密数据密钥。 调用方法 请参见如何调用API。 URI POST /v1.0/{project_id}/kms/encrypt-datakey 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是

查看更多 →

on：开启透明数据加密功能。 off：关闭透明数据加密功能。 默认值：off tde_cmk_id 参数说明：透明数据加密功能使用的数据库实例主密钥CMK的ID编号，由使用的密钥管理服务KMS生成。数据库实例主密钥CMK用于对数据加密密钥DEK进行加密保护，当前需要对DEK进行解密时，

查看更多 →

添加密钥标签 功能介绍 功能介绍：添加密钥标签。 调用方法 请参见如何调用API。 URI POST /v1.0/{project_id}/kms/{key_id}/tags 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID key_id

查看更多 →

取值范围：布尔型。 on：开启透明数据加密功能。 off：关闭透明数据加密功能。 默认值：off tde_cmk_id 参数说明：透明数据加密功能使用的集群主密钥CMK的ID编号，由使用的密钥管理服务KMS生成。集群主密钥CMK用于对数据加密密钥DEK进行加密保护，当前需要对DEK进行解密时，需要

查看更多 →

图1 数据加密过程 数据加密过程中涉及的几种密钥，如表1所示。 表1 密钥说明 名称 概念 功能 数据加密密钥 即DEK，是用户加密数据的加密密钥。 加密具体资源。 自定义密钥 是用户通过DEW创建的密钥，是一种密钥加密密钥，主要用于加密并保护DEK。 一个自定义密钥可以加密多个DEK。

查看更多 →

图1 数据加密过程 数据加密过程中涉及的几种密钥，如表1所示。 表1 密钥说明 名称 概念 功能 数据加密密钥 即DEK，是用户加密数据的加密密钥。 加密具体资源。 自定义密钥 是用户通过DEW创建的密钥，是一种密钥加密密钥，主要用于加密并保护DEK。 一个自定义密钥可以加密多个DEK。

查看更多 →

图1 数据加密过程 数据加密过程中涉及的几种密钥，如表1所示。 表1 密钥说明 名称 概念 功能 数据加密密钥 即DEK，是用户加密数据的加密密钥。 加密具体资源。 自定义密钥 是用户通过DEW创建的密钥，是一种密钥加密密钥，主要用于加密并保护DEK。 一个自定义密钥可以加密多个DEK。

查看更多 →

管理加密密钥 密钥生命周期管理 数据密钥管理 导入密钥管理 密钥授权管理 小数据加解密 签名验签 密钥轮换管理 密钥标签管理 密钥查询 查询密钥API版本信息 专属密钥库管理 多区域密钥 父主题： API说明

查看更多 →

轮转加密密钥 在创建集群时，如果您在“高级配置”中为集群启用了“加密数据库”的功能，在集群创建成功后，您可以为集群轮转加密密钥。当普通集群转为加密集群时，也可以为集群轮转加密密钥。每执行一次密钥轮转，就更新一次集群加密密钥（CEK）。执行密钥轮转时，集群仍处于“可用”状态。 为GaussDB(DWS)集群轮转加密密钥

查看更多 →

图1 数据加密过程 数据加密过程中涉及的几种密钥，如表1所示。 表1 密钥说明 名称 概念 功能 数据加密密钥 即DEK，是用户加密数据的加密密钥。 加密具体资源。 自定义密钥 是用户通过DEW创建的密钥，是一种密钥加密密钥，主要用于加密并保护DEK。 一个自定义密钥可以加密多个DEK。

查看更多 →

自定义密钥与默认密钥有什么区别？ 自定义密钥和默认密钥的区别，如表 自定义密钥和默认密钥的区别所示。 表1 自定义密钥和默认密钥的区别 名称 概念 区别 自定义密钥 是用户自行通过KMS创建或导入的密钥，是一种密钥加密密钥，主要用于加密并保护DEK。 一个自定义密钥可以加密多个DEK。

查看更多 →

ecrypt-datakey接口对该密文进行解密。 使用数据加密密钥加密数据 KMS无法使用数据加密密钥加密数据。您可以利用KMS之外的加密库（例如： OpenSSL），使用数据加密密钥对数据进行加密。 根据创建数据加密密钥获取数据加密密钥的明文。 使用数据加密密钥的明文加密数据。

查看更多 →

属性加密的密钥管理 初始化ABE主密钥 更新ABE主密钥 查询ABE主密钥 申请ABE用户密钥 授权ABE用户密钥 查询ABE用户密钥申请 ABE用户密钥解密数据 父主题： 可信数据交换（公测）

查看更多 →

更新 MRS 集群加密密钥 在安装集群时，系统将自动生成加密密钥key值以对集群的部分安全信息（例如所有数据库用户密码、密钥文件访问密码等）进行加密存储。在集群安装成功后，如果原始密钥不慎意外泄露或者需要使用新的密钥，系统管理员可以通过以下操作手动更改密钥值。 对系统的影响 更新集群

查看更多 →