GaussDB开启透明加密
操作场景
用户实例需要使用透明加密功能时候可以在实例页面选择开启透明加密。该章节仅提供透明加密的开启操作指导,具体透明加密使用指导请参考《云数据库 GaussDB 使用指南(for 华为云Stack 8.5.0)》中的“特性指南 > 透明数据加密”章节。
注意事项
-
登录DBS运维管理平台,选择“实例运维 > 配置管理 > 特性白名单”,特性名称输入“gaussdb_feature_supportKmsTde”,查询白名单状态是否为“已发布”,否则需要参考《云数据库 GaussDB 维护指南(for 华为云Stack 8.5.0)》中的“运维指南 > DBS运维管理平台操作指南 > 配置管理 > 特性白名单”章节开通白名单。
-
透明加密开启依赖8.2.1及以上版本的KMS服务。
-
开启透明加密后,需要手动在页面重启实例后功能生效。
-
只支持AES与SM4加密类型主密钥。
-
使用透明加密功能,会将密钥授权至服务管理用户。
-
不支持跨云容灾场景。
-
透明加密开启后,不支持修改密钥。
-
数据库引擎版本大于等于V2.0-8.200.0的实例,进行透明加密后支持库表级备份恢复。
-
加密表不支持使用DRS迁移。
-
透明加密仅支持在内核版本为V2.0-3.300及以上版本使用。
-
使用透明加密需要参考《华为云Stack 8.5.0 许可指南》加载License。License过期后,存量实例和新创建实例无法打开高级特性,已经打开高级特性的实例不受影响。
-
需使用透明加密跨Region能力时,需先参考《FusionGuard 8.5.0 使用指南》中“用户指南 > 密钥管理服务(KMS) > 同步用户主密钥”章节同步多个Region之间的密钥,开启透明加密时,需要选择已同步的跨Region密钥。
NOTICE:
KMS多Region同步能力仅支持在开启“开启多区域功能”的资源空间中进行,创建请参考《ManageOne 8.5.0 产品文档》中的“操作维护 > 用户指南 > 运营管理 > 管理资源空间 > 基本操作 > 创建资源空间”章节,创建一个“开启多区域功能”的资源空间供KMS使用。
操作步骤
-
在“实例管理”页面,选择指定的实例,单击实例的名称,进入“基本信息”页面。
-
在“数据库信息”中,找到“透明加密”字段,单击“开启”。
-
单击开启后,在密钥列表中,选择已创建好的KMS密钥,按提示输入确认信息后,单击“确定”。
图1 开启透明加密
-
等待切换完成后,重启实例,使改动生效。
更多详情请参考GaussDB 文档中心:doc.hcs.huawei.com/db/zh-cn/ga…
回到顶部
