簡介

關(guān)系型數(shù)據(jù)庫支持MySQL、PostgreSQL、SQL Server引擎。

當(dāng)啟用加密功能后，用戶創(chuàng)建數(shù)據(jù)庫實(shí)例和擴(kuò)容磁盤時(shí)，磁盤數(shù)據(jù)會(huì)在服務(wù)端加密成密文后存儲(chǔ)。用戶下載加密對象時(shí)，存儲(chǔ)的密文會(huì)先在服務(wù)端解密為明文，再提供給用戶。

約束條件

當(dāng)前登錄用戶已通過統(tǒng)一身份認(rèn)證服務(wù)添加華為云關(guān)系型數(shù)據(jù)庫所在區(qū)域的KMS Administrator權(quán)限。權(quán)限添加方法請參見《統(tǒng)一身份認(rèn)證服務(wù)用戶指南》的“如何管理用戶組并授權(quán)？”章節(jié)。

如果用戶需要使用自定義密鑰加密上傳對象，則需要先通過數(shù)據(jù)加密服務(wù)創(chuàng)建密鑰。使用數(shù)據(jù)加密服務(wù)創(chuàng)建密鑰詳情請參見創(chuàng)建密鑰。

實(shí)例創(chuàng)建成功后，不可修改磁盤加密狀態(tài)，且無法更改密鑰。存放在對象存儲(chǔ)服務(wù)上的備份數(shù)據(jù)不會(huì)被加密。

華為云關(guān)系型數(shù)據(jù)庫實(shí)例創(chuàng)建成功后，請勿禁用或刪除正在使用的密鑰，否則會(huì)導(dǎo)致服務(wù)不可用，數(shù)據(jù)無法恢復(fù)。

選擇磁盤加密的實(shí)例，新擴(kuò)容的磁盤空間依然會(huì)使用原加密密鑰進(jìn)行加密。

使用KMS加密數(shù)據(jù)庫實(shí)例（控制臺(tái)）

用戶在通過關(guān)系型數(shù)據(jù)庫（Relational Database Service，RDS）購買數(shù)據(jù)庫實(shí)例時(shí)，可以選擇“磁盤加密”，使用KMS提供的密鑰來加密數(shù)據(jù)庫實(shí)例的磁盤，更多信息請參見購買MySQL實(shí)例、購買PostgreSQL實(shí)例、購買SQL Server實(shí)例。

圖1 RDS服務(wù)端加密

云服務(wù)數(shù)據(jù)加密原理介紹：華為云服務(wù)基于信封加密技術(shù)，通過調(diào)用KMS接口來加密云服務(wù)資源。由用戶管理自己的用戶主密鑰，華為云服務(wù)在擁有用戶授權(quán)的情況下，使用用戶指定的用戶主密鑰對數(shù)據(jù)進(jìn)行加密。

圖1 華為云服務(wù)使用KMS加密原理

加密流程說明如下：

1、用戶需要在KMS中創(chuàng)建一個(gè)用戶主密鑰。

2、華為云服務(wù)調(diào)用KMS的“create-datakey”接口創(chuàng)建數(shù)據(jù)加密密鑰。得到一個(gè)明文的數(shù)據(jù)加密密鑰和一個(gè)密文的數(shù)據(jù)加密密鑰。

說明：密文的數(shù)據(jù)加密密鑰是由指定的用戶主密鑰加密明文的數(shù)據(jù)加密密鑰生成的。

3、華為云服務(wù)使用明文的數(shù)據(jù)加密密鑰來加密明文文件，得到密文文件。

4、華為云服務(wù)將密文的數(shù)據(jù)加密密鑰和密文文件一同存儲(chǔ)到持久化存儲(chǔ)設(shè)備或服務(wù)中。

說明：用戶通過華為云服務(wù)下載數(shù)據(jù)時(shí)，華為云服務(wù)通過KMS指定的用戶主密鑰對密文的數(shù)據(jù)加密密鑰進(jìn)行解密，并使用解密得到的明文的數(shù)據(jù)加密密鑰來解密密文數(shù)據(jù)，然后將解密后的明文數(shù)據(jù)提供給用戶下載。