备份加密是利用备份工具(Xtrabackup)的加密能力对RDS MySQL实例备份进行加密,开发人员无需更改任何应用程序。如果需要使用加密的备份,需要先下载备份,然后在解压缩时进行解密。
前提条件
- 实例类型为如下之一:
- RDS MySQL 8.0高可用版(本地SSD盘)
- RDS MySQL 5.7高可用版(本地SSD盘)
- RDS MySQL 5.6高可用版(本地SSD盘)
- 购买专属KMS实例。
背景信息
加密使用的密钥由密钥管理服务(KMS)产生和管理,RDS不提供加密所需的密钥和证书。您不仅可以使用阿里云自动生成的密钥,也可以使用自定义密钥。
如果您需要使用自定义密钥进行备份加密,首先需要创建一个服务关联角色,RDS服务通过该角色获取KMS密钥列表、密钥属性以及别名后,才能在控制台给您展示加密密钥列表,并且在备份加密之后展示加密的相关信息。
开通加密服务的操作中,RDS服务会标记您选择的密钥,然后备份系统通过服务关联角色使用密钥进行备份加密。
注意事项
警告 备份加密功能开通后不可关闭。
- 备份加密开通后无法修改密钥。
- 备份加密开通后新增的备份才会加密,存量备份不会加密。
- 备份加密开通后,您如果要恢复数据到本地,请在下载后解密数据。
说明 在控制台使用备份直接恢复数据,不需要您手动解密,后端会自动解密后执行恢复操作。
- 使用已有自定义密钥时,需要注意:
- 禁用密钥、设置密钥删除计划或者删除密钥材料都会造成密钥不可用,从而使基于该密钥加密备份的实例运维操作失败,可能会影响实例的可用性。基于该加密备份的恢复操作也会失败。
- 需要使用阿里云主账号或者具有如下权限的RAM账号(子账号):
{ "Version": "1", "Statement": [ { "Action": [ "ram:CreateServiceLinkedRole" ], "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "backupencryption.rds.aliyuncs.com" } } }, { "Action": [ "kms:ListResourceTags", "kms:TagResource" ], "Effect": "Allow", "Resource": [ "acs:kms:*:*:*" ] } ] }
说明 您可以在访问控制控制台配置权限并授权账号,详情请参见RAM授权访问RDS实例。
开通备份加密
开通成功后,您的备份就会被加密,在阿里云上使用备份时不需要您手动解密,后端会自动解密后执行相关操作(例如恢复数据),但是如果下载加密的备份到本地,您需要手动解密才能使用备份。解密数据请参见解密数据。
解密数据
本文以Ubuntu 16.04系统为例,演示解密数据的全过程。
前提条件
- 系统中已安装Percona XtraBackup。如未安装,请参见Percona XtraBackup 2.4(MySQL 5.7、5.6或5.5实例)或Percona XtraBackup 8.0(MySQL 8.0实例)。
- 系统中已安装qpress解压工具。如未安装,请执行下列命令安装。
wget "http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/attach/183466/cn_zh/1608011575185/qpress-11-linux-x64.tar" tar xvf qpress-11-linux-x64.tar chmod 775 qpress cp qpress /usr/bin
- Python大版本需为Python 3。
操作步骤