完成对已授权接入的云数据库 RDS MySQL 版和云原生数据库 PolarDB MySQL 版(PolarDB for MySQL)的敏感数据分类分级后,如果需要对识别出的敏感列数据进行访问加密,以避免非授权人员通过云平台软件或数据库连接工具直接访问到敏感数据明文,可以使用数据安全中心 DSC(Data Security Center)提供列加密功能。列加密功能可以实现列数据在数据库内可用不可见,有效防御来自云平台外部和内部的安全威胁,让云上数据成为用户的私有资产。
功能说明
数据安全中心的列加密功能包含加密设置和账号权限管理两部分。加密设置定义加密算法和加密的RDS数据库实例、库、表以及列范围,账号权限管理用于管控访问所有已加密列数据的数据库账号及其权限。
支持列加密的数据库
RDS MySQL实例的大版本为MySQL 5.7或MySQL 8.0,且内核小版本必须大于或等于20240731。
PolarDB MySQL实例的大版本为MySQL 5.7或MySQL 8.0,且数据库代理版本必须大于或等于2.8.36。
访问加密列数据原理
开启数据库列加密后,使用对应权限的数据库账号查询数据库表中加密列数据时,数据库会返回加密后数据,在客户端应用时才解密为明文数据,使得数据在除了应用客户端以及数据库内的外部流动中全程以密文形式存在。
数据库账号:已授权接入DSC的RDS MySQL版和PolarDB MySQL版的数据库下拉取到的数据库账号。
密文权限:开启数据库的某列加密后,该数据库下所有账号的权限默认设置为密文权限,仅支持访问已加密列数据的密文。
密文权限(JDBC解密):支持该账号以SDK方式使用密钥进行解密后查看明文。
密文权限(无解密权限):不支持该账号以SDK方式使用密钥进行解密后查看明文。
明文权限:开启数据库列加密后,设置为明文权限的账号,不受列加密设置影响,可直接明文访问加密列信息。
计费说明
DSC为列加密服务免费提供1个字段的加密额度。后续使用该服务,您需要开启列加密服务并购买足够的列加密数,按照包年包月模式计费。计费详情,请参见计费概述。
前提条件
已完成目标RDS或PolarDB数据资产的授权和连接。具体操作,请参见通用数据库授权。
已授权的RDS MySQL实例或PolarDB MySQL实例已执行敏感数据识别任务,完成敏感数据列识别。具体操作,请参见通过识别任务扫描敏感数据。
总览列加密统计信息
数据库实例接入DSC后,会在DSC控制台的页面展示已连接的MySQL 5.7和8.0版本的数据库实例列表,并根据敏感数据扫描和识别结果展示数据库、表、列以及敏感数据统计等信息。
登录数据安全中心控制台。
在左侧导航栏,选择。
在数据库实例列表,可查看RDS和PolarDB实例名称、地域和加密检查等信息。您可以通过列表上方的搜索组件,例如资产类型、加密状态、识别模板、识别模型、敏感等级等,搜索并查看目标数据库实例。
展开目标数据库实例,可以查看该实例下的数据库、表、列以及敏感识别结果信息。
在实例列表左上方,可以查看统计的列总数、敏感列(识别到敏感等级为S3及以上的列数)、已加密列(已开启加密且生效成功的列数)、未加密列以及加密失败(已开启加密但生效失败的列数)。
说明以上统计数据的列均为数据识别结果中敏感等级为S3及以上的列。
在实例列表右上方,可以查看数据库相关的账号统计以及权限设置。
账号总数:每个数据库的每个账号计为一个数据库账号,例如:A数据库和B数据库均有账号C,则数据库账号数计为两个。
未配置加密:数据库中所有列都未开启加密时,账号权限为未配置加密,该数据库下所有账号正常访问所有列数据。
明文权限或密文权限:开启数据库中列加密后,可设置数据库账号访问加密列数据的权限。
配置列加密
对于页面显示的数据库实例,加密检查列显示通过,才能配置对应数据库的列加密。
如果加密检查列显示未通过,可能是数据库版本或内核版本不支持使用列加密服务,需要您手动升级数据库版本或内核版本。具体内容,请参见本文常见问题。
开启列加密
在左侧导航栏,选择。
您可以选择以下方式,批量加密列或开启单列加密。
一键加密(批量列加密)
单击实例列表上方未加密列的一键加密。
说明如果实例列表上方的已加密列显示为0,则一键加密按钮,显示在已加密列中。
您也可以在实例列表中,单击目标数据库实例对应操作列的一键加密。
在右侧面板,选择加密参数,然后单击确定。
参数
说明
资产类型
选择RDS或PolarDB。
实例名称
选择需要设置列加密的RDS实例。
加密算法
目前仅支持默认加密算法:AES-128-GCM。
明文权限账号
完成加密配置后,对应数据库下所有账号都默认设置为密文权限。您可以选择加白的账号,使用明文权限访问加密列数据。
配置加密列
选择需要加密的数据库、表和列。
您可以根据搜索组件,例如识别模板、识别模型、敏感等级、库名称、表名称等,搜索待加密列信息。
开启加密(单列加密)
在RDS实例列表,展开目标实例,找到目标列,单击操作列的开启加密。该列使用默认加密算法:AES-128-GCM进行加密。
修改加密列范围
完成加密配置后,您可以在实例列表的操作列,单击编辑,修改加密列范围。您也可以展开目标实例,在数据库列表,找到目标列名称,开启加密或关闭加密。
修改数据库账号权限
对于已配置且成功生效的加密列数据,您可以根据业务场景,修改可明文访问或支持解密密文数据的对应数据库账号的权限。
在页面,单击账号数据区域的权限设置。
您可以在实例列表的操作列,单击编辑,在右侧面板,单击账号权限的配置。
在账号权限设置面板,搜索目标实例和账号,查看当前账号权限
单击目标账号对应操作列的修改权限。
您也可以选中多个具备相同权限的目标账号,单击列表下方的批量修改权限。
在修改权限对话框,选中目标权限,单击确定。
客户端使用说明
您可以使用全密态客户端驱动程序EncJDBC接入目标RDS数据库,通过Java应用程序访问数据库中加密的列数据。EncJDBC能够自动完成密文数据的解密并返回明文数据,过程对应用透明。具体内容,请参见EncJDBC。
常见问题
为什么在列加密页面找不到已授权接入的RDS实例和PolarDB实例?
RDS实例和PolarDB实例的加密检查“未通过”怎么办?
如果已授权接入的RDS MySQL数据库的版本不是5.7或8.0、内核版本小于20240731或为只读实例,加密检查列会显示未通过。
如果已授权接入的PolarDB MySQL数据库的版本不是5.7或8.0,或者数据库代理版本小于2.8.36,加密检查列会显示未通过。
数据库版本不支持
如果确认目标PolarDB MySQL数据库需要进行列加密配置,您可以登录PolarDB控制台,找到目标集群,升级数据库版本。具体操作,请参见大版本升级。
数据库代理版本不支持
如果确认目标PolarDB MySQL数据库需要进行列加密配置,您可以单击升级数据库内核,选择升级版本和升级时间后,单击确定,进行代理版本升级。具体操作,请参见小版本升级。完成数据库代理版本升级后,该PolarDB数据库才支持开启列加密。
完成版本升级后,您需要在DSC控制台完成资产同步操作,同步数据库最新信息。
在左侧导航栏,选择,单击资产授权管理。
在资产授权管理面板左侧产品名称导航栏,单击PolarDB。
在资产授权管理面板,单击资产同步。
