开启透明数据加密TDE

云原生内存数据库Tair支持透明数据加密TDE（Transparent Data Encryption），可对RDB数据文件执行加密和解密。您可以通过控制台启用TDE功能，对RDB数据进行自动加密和解密，以满足提升数据安全性及合规需要。

前提条件

实例为内存型本地盘，小版本为1.7.1及以上，升级方法请参见升级小版本。

背景信息

Tair的TDE功能可以将RDB数据文件在写入磁盘之前进行加密，从磁盘读入内存时进行解密，具有不额外占用存储空间、无需更改客户端应用程序等优势。

TDE加密 — 图 1. TDE加密

影响

由于开启TDE功能后无法关闭，在开启前，需要评估对业务的影响，具体如下：

暂不支持迁移可用区操作。
暂不支持离线全量Key分析操作。
暂不支持将该实例转换为全球分布式实例。
暂不支持通过DTS执行迁移或同步数据。

注意事项

TDE的开启粒度为实例级别，不支持Key（键）或DB（库）粒度的控制。
TDE加密对象为数据落盘文件（即RDB备份文件，如dump.rdb）。
TDE所使用的密钥，由密钥管理服务KMS（Key Management Service）统一生成和管理，云数据库Redis不提供加密所需的密钥和证书。
实例回收站不支持恢复已开启TDE的实例。

操作步骤

访问Tair实例列表，在上方选择地域，然后单击目标实例ID。
在左侧导航栏，单击TDE设置。
打开TDE状态右侧的开关。
在弹出的对话框中，选择使用自动生成密钥或使用自定义密钥，然后单击确定。
图 2. 开启TDE选择密钥
说明

如果您的阿里云账号首次为Tair实例开启TDE功能，请根据页面弹出的提示完成授权（授权的角色为AliyunRdsInstanceEncryptionDefaultRole），授权完成后才可以使用相关密钥服务。

关于自定义密钥的创建方法，请参见创建密钥。
设置完成后，实例状态改为TDE修改中，当实例状态转变为运行中表示操作完成。

相关API


API接口	说明
ModifyInstanceTDE	为Tair实例开启透明数据加密TDE功能，支持自定义或自动生成密钥。
DescribeInstanceTDEStatus	查询Tair实例是否开启了TDE加密功能。
DescribeEncryptionKeyList	查询Tair实例的TDE加密功能可使用的自定义密钥列表。
DescribeEncryptionKey	查询Tair实例的透明数据加密TDE自定义密钥的详情。
CheckCloudResourceAuthorized	查询Tair实例是否已被授权使用KMS密钥服务。

常见问题

Q：下载了加密后的RDB数据文件，如何进行解密？
A：目前无法解密，您可以将备份集恢复至新实例，恢复完成后，数据即完成自动解密。
Q：为什么客户端读取到的数据还是明文显示的？
A：加密的对象是数据落盘文件（即RDB备份文件），而查询数据时读取的是内存数据（未被加密），所以是明文显示。