服务端加密
服务端加密简介
云数据库RDS服务的管理控制台目前支持数据加密服务(Data Encryption Workshop,简称DEW)托管密钥的服务端加密,即使用数据加密服务提供的密钥进行服务端加密。
数据加密服务通过使用硬件安全模块 (Hardware Security Module,简称HSM) 保护密钥安全的托管,帮助用户轻松创建和控制加密密钥。用户密钥不会明文出现在硬件安全模块之外,避免密钥泄露。对密钥的所有操作都会进行访问控制及日志跟踪,提供所有密钥的使用记录,满足监督和合规性要求。
当启用服务端加密功能后,用户创建实例和扩容磁盘时,磁盘数据会在服务端加密成密文后存储。用户下载加密对象时,存储的密文会先在服务端解密为明文,再提供给用户。
使用服务端加密方式加密磁盘
用户首先需要在数据加密服务中创建密钥(或者使用数据加密服务提供的默认密钥)。创建实例时,在“磁盘加密”项选择“加密”,选择或创建密钥,该密钥是最终租户密钥,使用该密钥进行服务端加密,使磁盘更安全。具体操作可参考《关系型数据库快速入门》的各引擎的“购买实例”章节。
- 已通过统一身份认证服务添加云数据库RDS所在区域的KMS Administrator权限。权限添加方法请参见创建用户组并授权。
- 如果用户需要使用自定义密钥加密上传对象,则需要先通过数据加密服务创建密钥。具体操作请参见创建密钥。
- RDS购买磁盘加密后,在实例创建成功后不可修改磁盘加密状态,且无法更改密钥。选择“磁盘加密”,存放在对象存储服务上的备份数据不会被加密。
- 设置了磁盘加密后,提醒您保存好密钥,一旦密钥被禁用、删除或冻结,会导致数据库不可用,可以通过备份恢复到新实例的方式恢复数据。
- 云数据库RDS实例创建成功后,请勿禁用或删除正在使用的密钥,否则会导致服务不可用,数据无法恢复。
- 选择磁盘加密的实例,新扩容的磁盘空间依然会使用原加密密钥进行加密。