备份加密是利用备份工具(Xtrabackup)的加密能力对RDS MySQL实例备份进行加密,开发人员无需更改任何应用程序。如果需要使用加密的备份,需要先下载备份,然后在解压缩时进行解密。

前提条件

  • 实例类型为如下之一:
    • RDS MySQL 8.0高可用版(本地SSD盘)
    • RDS MySQL 5.7高可用版(本地SSD盘)
    • RDS MySQL 5.6高可用版(本地SSD盘)
  • 购买专属KMS实例

背景信息

加密使用的密钥由密钥管理服务(KMS)产生和管理,RDS不提供加密所需的密钥和证书。您不仅可以使用阿里云自动生成的密钥,也可以使用自定义密钥。

如果您需要使用自定义密钥进行备份加密,首先需要创建一个服务关联角色,RDS服务通过该角色获取KMS密钥列表、密钥属性以及别名后,才能在控制台给您展示加密密钥列表,并且在备份加密之后展示加密的相关信息。

开通加密服务的操作中,RDS服务会标记您选择的密钥,然后备份系统通过服务关联角色使用密钥进行备份加密。

注意事项

警告 备份加密功能开通后不可关闭。
  • 备份加密开通后无法修改密钥。
  • 备份加密开通后新增的备份才会加密,存量备份不会加密。
  • 备份加密开通后,您如果要恢复数据到本地,请在下载后解密数据
    说明 在控制台使用备份直接恢复数据,不需要您手动解密,后端会自动解密后执行恢复操作。
  • 使用已有自定义密钥时,需要注意:
    • 禁用密钥、设置密钥删除计划或者删除密钥材料都会造成密钥不可用,从而使基于该密钥加密备份的实例运维操作失败,可能会影响实例的可用性。基于该加密备份的恢复操作也会失败。
    • 需要使用阿里云主账号或者具有如下权限的RAM账号(子账号):
      {
          "Version": "1",
          "Statement": [
              {
                  "Action": [
                      "ram:CreateServiceLinkedRole"
                  ],
                  "Resource": "*",
                  "Effect": "Allow",
                  "Condition": {
                      "StringEquals": {
                          "ram:ServiceName": "backupencryption.rds.aliyuncs.com"
                      }
                  }
              },
              {
                  "Action": [
                      "kms:ListResourceTags",
                      "kms:TagResource"
                  ],
                  "Effect": "Allow",
                  "Resource": [
                      "acs:kms:*:*:*"
                  ]
              }
          ]
      }
      说明 您可以在访问控制控制台配置权限并授权账号,详情请参见RAM授权访问RDS实例

开通备份加密

  1. 访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
  2. 在左侧导航栏中单击备份恢复
  3. 备份恢复页面中选择备份策略页签。
  4. 单击备份加密设置区域后的编辑,开启备份加密状态
  5. 备份加密设置对话框中,选择备份主密钥,然后单击确定
    • 使用阿里云自动生成的密钥

      阿里云自动生成密钥供您使用。

    • 使用已有自定义密钥

      选择密钥管理服务(KMS)中已创建的密钥。如还未创建,请参见创建密钥

      说明 首次使用自定义密钥需要授权,您可以根据页面提示进行操作。

开通成功后,您的备份就会被加密,在阿里云上使用备份时不需要您手动解密,后端会自动解密后执行相关操作(例如恢复数据),但是如果下载加密的备份到本地,您需要手动解密才能使用备份。解密数据请参见解密数据

解密数据

本文以Ubuntu 16.04系统为例,演示解密数据的全过程。

前提条件

操作步骤

  1. 获取RDS加密备份数据的密文和加密算法。
    1. 访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
    2. 在左侧导航栏中单击备份恢复
    3. 备份恢复页面中选择基础备份列表 > 数据备份
    4. 单击目标备份集操作列下的1 > 查看加密信息,即可获取加密备份数据的密文加密算法
  2. 调用Decrypt接口,在CiphertextBlob参数中传入步骤1中获取的密文,获取base64编码的二进制串Plaintext
    plaintext
  3. 通过base64对Plaintext进行解码,并将各个二进制转换为对应的十六进制获取解密密码。本文通过Python代码实现这一操作。
    说明 Python大版本需为Python 3。
    1. 在命令行中执行vi decrypt.py打开vi编辑器。
    2. 按下键盘上的i键开启编辑模式,输入如下内容后按下ESC键,输入:wq保存并退出。
      import base64
      import binascii
      plaintext = 'S14dTbl6i4Qo**********' #单引号('')中输入上一步骤中获取的Plaintext。
      password = binascii.b2a_hex(base64.b64decode(plaintext)) #获取解密密码并将密码赋值给password。
      print(str(password, 'utf-8')) #以字符串的形式将密码打印在屏幕上。
    3. 在命令行中执行python decrypt.py命令后,屏幕上会打印出解密密码。

      示例:

      4b5e1d4db97a********************
  4. 下载加密备份数据并解密该数据。
    1. 下载备份数据到本地
    2. 在命令行中执行如下命令创建一个目录(例如/home/mysql/data)用来存放备份数据。
      mkdir /home/mysql/data
    3. 解压压缩包。根据压缩包的后缀选择解压命令。
      备份文件类型 解压命令
      tar 压缩包 (.tar.gz 后缀)
      tar -izxvf test1.tar.gz -C /home/mysql/data
      xbstream 压缩包 (.xb.gz 后缀)
      gzip -d -c test1.xb.gz | xbstream -x -v -C /home/mysql/data
      xbstream 文件包(_qp.xb 后缀)
      ## 先解包
      cat test1_qp.xb | xbstream -x -v -C /home/mysql/data
      
      ## 然后解压
      ### 对于MySQL 5.6/5.7
      innobackupex --decompress --remove-original /home/mysql/data
      ### 对于MySQL 8.0
      xtrabackup --decompress --remove-original --target-dir=/home/mysql/data
      xbstream qpress压缩包(_xb.qp后缀)
      qpress -do  test1_xb.qp  | xbstream -x -v -C /home/mysql/data
      解压后会发现,基本上所有数据的后缀都为.xbcrypt,表示数据被加密。数据被加密
    4. 在命令行中执行如下命令解密数据。
      xtrabackup --decompress --remove-original --decrypt=AES256 --encrypt-key=4b5e1d4db97a******************** --target-dir=/home/mysql/data
      说明 上述命令中的主要参数说明如下:
      • decrypt步骤1中获取的加密算法,本示例中为AES256
      • encrypt-key步骤3中获取的解密密码。
      • target-dir:备份文件所在的目录。
      执行后,数据的.xbcrypt后缀消失,数据解密成功。数据解密成功