如何设置PolarDB分布式版透明数据加密功能

功能介绍

透明数据加密TDE（Transparent Data Encryption）可对数据文件执行实时I/O加密和解密，数据在写入磁盘之前进行加密，从磁盘读入内存时进行解密。TDE不会增加数据文件的大小，开发人员无需更改任何应用程序，即可使用TDE功能。

加密使用的密钥由密钥管理服务（KMS）产生和管理，PolarDB-X不提供加密所需的密钥和证书。PolarDB分布式版不仅支持使用阿里云自动生成的密钥，也可以使用自带的密钥材料生成数据密钥，然后授权PolarDB分布式版使用。

前提条件

已开通KMS。如果您未开通KMS，可在开通TDE过程中根据引导开通KMS。

操作步骤

1. 登录云原生分布式数据库控制台。
2. 在页面左上角选择目标实例所在地域。
3. 在实例列表页，单击PolarDB-X 2.0页签。
4. 找到目标实例，单击实例ID。
5. 在左侧导航栏选择配置与管理 > 安全管理。
6. 在TDE页签单击未开通左边的滑块。
7. 在设置TDE对话框，完成以下设置：
   • 选择使用由阿里云自动生成的密钥，单击确定，开通TDE。
   • 选择使用已有自定义密钥，选择密钥，单击确定，开通TDE。

     说明 如果没有自定义密钥，需要单击前往创建，在密钥管理服务控制台创建密钥并导入自带的密钥材料。详情请参见密钥管理服务。

   

加密操作

登录数据库，执行如下命令，对要加密的表进行加密。

alter table <tablename> encryption='Y';

执行如下命令，可直接创建加密表。

create table <tablename> <col definition> ENCRYPTION='Y';

解密操作

登录数据库，执行如下命令，对TDE加密的表解密。

alter table <tablename> ENCRYPTION='N';