RDS数据库服务端数据加密
简介
关系型数据库支持MySQL、PostgreSQL、SQL Server引擎。
当启用加密功能后,用户创建数据库实例和扩容磁盘时,磁盘数据会在服务端加密成密文后存储。用户下载加密对象时,存储的密文会先在服务端解密为明文,再提供给用户。
约束条件
当前登录用户已通过统一身份认证服务添加华为云关系型数据库所在区域的KMS Administrator权限。权限添加方法请参见《统一身份认证服务用户指南》的“如何管理用户组并授权?”章节。
如果用户需要使用自定义密钥加密上传对象,则需要先通过数据加密服务创建密钥。使用数据加密服务创建密钥详情请参见创建密钥。
实例创建成功后,不可修改磁盘加密状态,且无法更改密钥。存放在对象存储服务上的备份数据不会被加密。
华为云关系型数据库实例创建成功后,请勿禁用或删除正在使用的密钥,否则会导致服务不可用,数据无法恢复。
选择磁盘加密的实例,新扩容的磁盘空间依然会使用原加密密钥进行加密。
使用KMS加密数据库实例(控制台)
用户在通过关系型数据库(Relational Database Service,RDS)购买数据库实例时,可以选择“磁盘加密”,使用KMS提供的密钥来加密数据库实例的磁盘,更多信息请参见购买MySQL实例、购买PostgreSQL实例、购买SQL Server实例。
图1 RDS服务端加密
密钥管理服务KMS支持加密的云服务列表
|
类型
|
云服务
|
数据加密方式说明
|
|---|---|---|
云计算 |
弹性云服务器ECS |
弹性云服务器资源加密包括镜像加密和云硬盘加密。
|
云计算 |
镜像服务IMS |
|
云存储 |
云硬盘EVS |
|
云存储 |
云硬盘备份VBS |
云硬盘备份主要对服务器中单个的云硬盘(系统盘和数据盘)创建在线备份,加密云硬盘的备份数据会以加密方式存放。 |
云存储 |
云服务器备份CSBS |
云服务器备份主要对服务器下所有云硬盘创建一致性在线备份,云服务器备份产生的备份,会显示在云硬盘备份中。加密云硬盘的备份数据会以加密方式存放。 |
云存储 |
弹性文件服务SFS |
|
云数据库 |
云数据库MySQL、云数据库Postgre SQL、云数据库SQL Server |
|
云数据库 |
文档数据库服务DDS |
|
EI企业智能 |
数据仓库服务DWS |
云服务数据加密原来介绍
云服务数据加密原理介绍:华为云服务基于信封加密技术,通过调用KMS接口来加密云服务资源。由用户管理自己的用户主密钥,华为云服务在拥有用户授权的情况下,使用用户指定的用户主密钥对数据进行加密。
图1 华为云服务使用KMS加密原理
加密流程说明如下:
1、用户需要在KMS中创建一个用户主密钥。
2、华为云服务调用KMS的“create-datakey”接口创建数据加密密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。
说明:密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。
3、华为云服务使用明文的数据加密密钥来加密明文文件,得到密文文件。
4、华为云服务将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。
说明:用户通过华为云服务下载数据时,华为云服务通过KMS指定的用户主密钥对密文的数据加密密钥进行解密,并使用解密得到的明文的数据加密密钥来解密密文数据,然后将解密后的明文数据提供给用户下载。
密钥管理服务的自定义密钥与默认主密钥有什么区别?
|
密钥类型
|
密钥概念说明
|
密钥区别
|
|---|---|---|
自定义密钥 |
是用户自行通过KMS创建或导入的密钥,是一种密钥加密密钥,主要用于加密并保护DEK。一个用户主密钥可以加密多个DEK。 |
支持禁用、计划删除等操作。 |
默认主密钥 |
是用户第一次通过对应云服务使用KMS加密时,系统自动生成的,其名称后缀为“/default”。例如:evs/default |
不支持禁用、计划删除等操作。 |
