取值范围：on/off。当前配置为on时表示开启透明数据加密；当前配置为off时，表示当前不开启加密但是保留后期打开加密功能，在创建表时会向KMS申请创建数据加密密钥。 默认值：off parallel_workers 表示创建索引时起的bgworker线程数量，例如2就表示将会起2个bgworker线程并发创建索引。

查看更多 →

取值范围：on/off。当前配置为on时表示开启透明数据加密；当前配置为off时，表示当前不开启加密但是保留后期打开加密功能，在创建表时会向KMS申请创建数据加密密钥。 默认值：off parallel_workers 表示创建索引时起的bgworker线程数量，例如2就表示将会起2个bgworker线程并发创建索引。

查看更多 →

取值范围：on/off。当前配置为on时表示开启透明数据加密；当前配置为off时，表示当前不开启加密但是保留后期打开加密功能，在创建表时会向KMS申请创建数据加密密钥。 默认值：off encrypt_algo 指定透明数据加密算法。前提是需要对该表设置enable_tde选项。加密算法只能在创建表

查看更多 →

取值范围：on/off。当前配置为on时表示开启透明数据加密；当前配置为off时，表示当前不开启加密但是保留后期打开加密功能，在创建表时会向KMS申请创建数据加密密钥。 默认值：off encrypt_algo 指定透明数据加密算法。前提是需要对该表设置enable_tde选项。加密算法只能在创建表

查看更多 →

访问控制策略，不受影响。 | ENCRYPTION KEY ROTATION 透明数据加密密钥轮转。 只有在数据库开启透明加密功能，并且表的enable_tde选项为on时才可以进行表的数据加密密钥轮转。执行密钥轮转操作后，系统会自动向KMS申请创建新的密钥。密钥轮转后，使用旧密

查看更多 →

访问控制策略，不受影响。 | ENCRYPTION KEY ROTATION 透明数据加密密钥轮转。 只有在数据库开启透明加密功能，并且表的enable_tde选项为on时才可以进行表的数据加密密钥轮转。执行密钥轮转操作后，系统会自动向KMS申请创建新的密钥。密钥轮转后，使用旧密

查看更多 →

自定义密钥和默认密钥的区别 名称 概念 区别 自定义密钥 是用户自行通过KMS创建或导入的密钥，是一种密钥加密密钥，主要用于加密并保护DEK。 一个自定义密钥可以加密多个DEK。 支持禁用、计划删除等操作。 创建或导入成功后进行按需计费。 默认密钥 是用户第一次通过对应云服务使用KMS加密时，系

查看更多 →

kms:cmk:list kms:cmk:create kms:cmk:decrypt kms:cmk:encrypt kms:dek:create kms:dek:encrypt kms:dek:decrypt 创建数据连接时，使用KMS加解密 DWS dws:cluster:list dws:cluster:getDetail

查看更多 →

示。本参数中的两部分，通过字符串拼接后作为参数即可。 datakey_plain_length 是 String DEK明文字节长度，取值范围为1~1024。 DEK明文字节长度，取值为“64”。 sequence 否 String 请求消息序列号，36字节序列号。 例如：919

查看更多 →

"Action": [ "kms:cmk:*", "kms:dek:*", "kms:grant:*", "kms:cmkTag:*",

查看更多 →

参数 参数类型 描述 key_id String 密钥ID。 plain_text String DEK明文16进制，两位表示1byte。 cipher_text String DEK密文16进制，两位表示1byte。 状态码： 400 表5 响应Body参数 参数 参数类型 描述

查看更多 →

文档数据库服务 (Document Database Service) DeH 参见 专属主机 (Dedicated Host) DEK 参见 数据加密密钥 (Data Encryption Key) DES 参见 数据快递服务 (Data Express Service) DEV 参见 培训演示系统

查看更多 →

默认值：不设置enable_tde选项时默认为空；设置enable_tde选项设置时，默认为AES_128_CTR。 dek_cipher 数据密钥的密文。用户为索引设置enable_tde参数后，索引会自动复制基表的dek_cipher参数，该参数不支持主动设置或更改。 取值范围：字符串 默认值：空 key_type

查看更多 →

25版本，引入KMS v2 alpha1 API以提升性能，实现轮替与可观察性改进。 此API使用AES-GCM替代了AES-CBC，通过DEK实现静态数据加密（Kubernetes Secrets），此过程中无需您额外操作，且支持通过AES-GCM和AES-CBC进行读取。 更多信息，请参考使用

查看更多 →

datakey_plain_length数据密钥明文长度需等于64字节。 请传递正确的参数。 400 KMS.2103 Failed to verify the DEK hash. 数据密钥hash校验失败。 请确认数据密钥是否合法或联系客服。 400 KMS.2104 The length of plain_text

查看更多 →

密的一个样本串，使用数据库加密密钥加密固定串“TRANS_ENCRYPT_SAMPLE_STRING”后的密文，用来校验二次启动时获取的DEK是否正确。如果校验失败，那么数据库节点将拒绝启动。该参数属于POSTMASTER类型参数，请参考表1中对应设置方法进行设置。 取值范围：字符串，设置为空表示整个数据库非加密。

查看更多 →

据。如果用户账号下不存在该名称的主密钥，则凭据管理服务会自动为您创建该名称的密钥。 如果您指定主密钥，则需要同时具备相应主密钥的kms:dek:create权限，用于凭据值进行加密。 调用方法 请参见如何调用API。 URI POST /v1/{project_id}/secrets

查看更多 →

et表、临时表和unlogged表。 取值范围：on/off。设置enable_tde=on时，key_type、tde_cmk_id、dek_cipher参数由数据库自动生成，用户无法手动指定或更改。 默认值：off encrypt_algo 指定加密表的加密算法，需与enable_tde结合使用。

查看更多 →

et表、临时表和unlogged表。 取值范围：on/off。设置enable_tde=on时，key_type、tde_cmk_id、dek_cipher参数由数据库自动生成，用户无法手动指定或更改。 默认值：off encrypt_algo 指定加密表的加密算法，需与enable_tde结合使用。

查看更多 →

页式表、临时表和unlogged表。 取值范围：on/off。设置enable_tde=on时，key_type、tde_cmk_id、dek_cipher参数由数据库自动生成，用户无法手动指定或更改 默认值：off encrypt_algo 指定加密表的加密算法，需与enable_tde结合使用。

查看更多 →

et表、临时表和unlogged表。 取值范围：on/off。设置enable_tde=on时，key_type、tde_cmk_id、dek_cipher参数由数据库自动生成，用户无法手动指定或更改。 默认值：off encrypt_algo 指定加密表的加密算法，需与enable_tde结合使用。

查看更多 →