RDS数据库服务端数据加密

简介

关系型数据库支持MySQL、PostgreSQL、SQL Server引擎。

当启用加密功能后,用户创建数据库实例和扩容磁盘时,磁盘数据会在服务端加密成密文后存储。用户下载加密对象时,存储的密文会先在服务端解密为明文,再提供给用户。

约束条件

当前登录用户已通过统一身份认证服务添加华为云关系型数据库所在区域的KMS Administrator权限。权限添加方法请参见《统一身份认证服务用户指南》的“如何管理用户组并授权?”章节。

如果用户需要使用自定义密钥加密上传对象,则需要先通过数据加密服务创建密钥。使用数据加密服务创建密钥详情请参见创建密钥。

实例创建成功后,不可修改磁盘加密状态,且无法更改密钥。存放在对象存储服务上的备份数据不会被加密。

华为云关系型数据库实例创建成功后,请勿禁用或删除正在使用的密钥,否则会导致服务不可用,数据无法恢复。

选择磁盘加密的实例,新扩容的磁盘空间依然会使用原加密密钥进行加密。

使用KMS加密数据库实例(控制台)

用户在通过关系型数据库(Relational Database Service,RDS)购买数据库实例时,可以选择“磁盘加密”,使用KMS提供的密钥来加密数据库实例的磁盘,更多信息请参见购买MySQL实例、购买PostgreSQL实例、购买SQL Server实例。

图1 RDS服务端加密

密钥管理服务KMS支持加密的云服务列表

类型
云服务
数据加密方式说明

云计算

弹性云服务器ECS

弹性云服务器资源加密包括镜像加密和云硬盘加密。

  1. 在创建弹性云服务器时,您如果选择加密镜像,弹性云服务器的系统盘会自动开启加密功能,加密方式与镜像保持一致。
  2. 在创建弹性云服务器时,您也可以对添加的数据盘进行加密。

云计算

镜像服务IMS

IMS服务端加密

云存储

云硬盘EVS

EVS云硬盘服务端数据加密

云存储

云硬盘备份VBS

云硬盘备份主要对服务器中单个的云硬盘(系统盘和数据盘)创建在线备份,加密云硬盘的备份数据会以加密方式存放。

云存储

云服务器备份CSBS

云服务器备份主要对服务器下所有云硬盘创建一致性在线备份,云服务器备份产生的备份,会显示在云硬盘备份中。加密云硬盘的备份数据会以加密方式存放。

云存储

弹性文件服务SFS

SFS服务端数据加密

云数据库

云数据库MySQL、云数据库Postgre SQL、云数据库SQL Server

RDS数据库服务端数据加密

云数据库

文档数据库服务DDS

DDS数据库服务端数据加密

EI企业智能

数据仓库服务DWS

DWS数据仓库服务端数据加密

云服务数据加密原来介绍

云服务数据加密原理介绍:华为云服务基于信封加密技术,通过调用KMS接口来加密云服务资源。由用户管理自己的用户主密钥,华为云服务在拥有用户授权的情况下,使用用户指定的用户主密钥对数据进行加密。

图1 华为云服务使用KMS加密原理

加密流程说明如下:

1、用户需要在KMS中创建一个用户主密钥。

2、华为云服务调用KMS的“create-datakey”接口创建数据加密密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。

说明:密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。

3、华为云服务使用明文的数据加密密钥来加密明文文件,得到密文文件。

4、华为云服务将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。

说明:用户通过华为云服务下载数据时,华为云服务通过KMS指定的用户主密钥对密文的数据加密密钥进行解密,并使用解密得到的明文的数据加密密钥来解密密文数据,然后将解密后的明文数据提供给用户下载。

密钥管理服务的自定义密钥与默认主密钥有什么区别?

密钥类型
密钥概念说明
密钥区别

自定义密钥

是用户自行通过KMS创建或导入的密钥,是一种密钥加密密钥,主要用于加密并保护DEK。一个用户主密钥可以加密多个DEK。

支持禁用、计划删除等操作。

默认主密钥

是用户第一次通过对应云服务使用KMS加密时,系统自动生成的,其名称后缀为“/default”。例如:evs/default

不支持禁用、计划删除等操作。