透明数据加密TDE(Transparent Data Encryption)可对数据文件执行实时I/O加密和解密,数据在写入磁盘之前进行加密,从磁盘读入内存时进行解密。TDE不会增加数据文件的大小,您无需更改任何应用程序,即可使用TDE功能。为提高数据安全性,您可以通过控制台启用TDE功能,对实例数据进行加密。

前提条件

  • 实例架构为副本集实例或分片集群实例。
  • 实例的存储引擎为WiredTiger。
  • 实例的存储类型为本地盘版。
  • 实例的数据库版本为4.0或4.2版本。如果实例数据库版本过低,您可以升级数据库大版本
    说明 正式开通TDE功能前,您可以创建一个4.0或4.2版本的按量付费实例来测试应用与版本兼容性,测试完毕可释放该实例。

如果您的实例不满足实例架构或存储引擎的条件,您可以通过其他方式变更,详情请参见变更配置方案概览

影响

  • 开通TDE功能的过程中,实例会重启一次并出现连接闪断,建议您在业务低峰期操作并确保应用有重连机制。
  • 开通TDE功能后,会增加实例的CPU使用率。
  • 加密后的集合不再支持通过物理备份恢复至自建数据库。如果您需要将加密后的集合恢复到自建数据库,您可以通过逻辑备份恢复至自建数据库,具体请参见通过逻辑备份恢复至自建数据库

注意事项

  • TDE功能开通后无法关闭。
  • 已开通TDE功能的实例释放后,不支持从回收站中恢复。
  • 当前TDE功能的开通粒度为实例,仅支持对集合进行加密。如果您需要对字段进行加密,请参见手动字段级加密(仅支持MongoDB 4.2版本实例)。
    说明 如果业务上有特殊需求,您可以在创建集合时,指定该集合不被加密。如何设置,请参见设置指定的集合不被加密
  • TDE功能开通后,仅加密新创建的集合,已有的集合不会被加密。
  • TDE功能所使用的密钥,由密钥管理服务KMS(Key Management Service)统一生成和管理,云数据库MongoDB不提供加密所需的密钥和证书。密钥管理服务KMS的更多信息,请参见什么是密钥管理服务

操作步骤

  1. 登录MongoDB管理控制台
  2. 根据实例类型,在左侧导航栏,单击副本集实例列表分片集群实例列表
  3. 在页面左上角,选择实例所在的资源组和地域。
  4. 单击目标实例ID或目标实例所在行操作列的管理
  5. 在目标实例页面的左侧导航栏,单击数据安全性 > TDE
  6. 打开TDE状态:右侧的开关。
  7. 在弹出的开通TDE对话框中,根据实际需要选择生成方式。
    • 使用自动生成密钥:使用系统自动生成的密钥。
    • 使用自定义密钥:根据业务需要,在下拉列表中选择密钥。如果下拉列表中不存在目标密钥,您可以先创建密钥,然后进行选择。创建方法请参见创建密钥
  8. 单击确定
    实例进入TDE修改中状态,当转变为运行中状态时,代表操作完成。

设置指定的集合不被加密

开启TDE加密后,所有新创建的集合都会被加密。如果业务上有特殊需求,您可以在创建集合时,指定该集合不被加密。

  1. 通过Mongo Shell连接数据库。如何连接,请参见连接副本集实例连接分片集群实例
  2. 执行如下命令创建集合,指定该集合不被加密。
    • 语法:
      db.createCollection("<collection_name>",{ storageEngine: { wiredTiger: { configString: "encryption=(name=none)" } } })
      说明 命令中的collection_name为集合名。
    • 示例:
      db.createCollection("customer",{ storageEngine: { wiredTiger: { configString: "encryption=(name=none)" } } })