管理加密规则

您可以在PolarDB控制台上新建以及启用或禁用加密规则,同时您还可以修改或删除已有的加密规则。本文将介绍相关操作步骤。

前提条件

PolarDB数据库代理版本需为2.8.18或以上。如何查看和升级当前数据库代理版本,请参见小版本升级

注意事项

  • 加密规则在主地址上不生效,您需要使用集群地址或自定义集群地址。

  • 当前只支持普通的COM_QUERY,不支持COM_STMT_PREPARE等其它命令。EncJDBC只支持text protocol,并不支持binary protocol。在所有情况下,客户端的prepared statament操作都通过text protocol来完成。

  • 当前加密功能与动态脱敏功能互斥,两者不能同时开启。

  • 如果之前已经开通过动态脱敏功能,则需要先把所有的脱敏规则先删除掉,然后重新建立规则并选中规则类型为加密

  • 用户指定密钥后,目前暂不支持更新密钥。整个数据库集群共享同一个用户密钥。

  • 请勿绕过数据库代理Proxy(SecureGW)直接连接访问原生MySQL Kernel,否则您的数据库集群将丧失敏感数据保护能力。此外,为防止恶意访问,建议您开启日志审计等功能,通过日志等管理手段进行事后审计追责。

新建加密规则

  1. 登录PolarDB控制台

  2. 在控制台左上角,选择集群所在地域。

  3. 找到目标集群,单击集群ID。

  4. 在左侧导航栏,选择配置与管理>安全管理

  5. 安全管理页面,单击动态脱敏/加密页签。

  6. 动态脱敏/加密页签,单击页面左上角的新增

  7. 新建规则对话框中,设置以下参数:

    表 1. 配置加密规则

    参数

    是否必填

    说明

    基本信息

    规则名称

    必填

    加密规则的名称。字符长度不能超过30个字符。

    规则类型

    必填

    选择规则的类型。包括脱敏加密

    说明

    当前集群下所有规则的类型需要保持一致,在新增第一条规则后类型将被锁定,如需修改规则类型必须删除所有已添加规则后重新进行配置。

    规则描述

    选填

    规则的描述。字符长度不能超过64个字符。

    启/禁规则

    不涉及

    启/禁规则开关。

    说明

    新建规则后,启/禁规则开关默认打开。

    Endpoint

    必填

    需要应用当前规则的Endpoint。

    规则配置

    数据库账号名

    选填

    需要应用当前规则的数据库账号名称。支持如下选项:

    • 所有数据库账号:表示当前规则对该集群中的所有数据库账号生效,此时右侧文本框无需填写任何内容。

    • 包含:表示当前规则仅对目标数据库账号生效,此时右侧文本框中必须填入一个或多个数据库账号名,多个账号间用英文逗号(,)分隔。

    • 不包含:表示当前规则会对该集群中,除目标数据库账号外的所有数据库账号生效,此时右侧文本框中必须填入一个或多个数据库账号名,多个账号间用英文逗号(,)分隔。

    说明

    文本框中填入的数据库账号名称需满足支持如下格式中的任意一种:

    • 账号名。示例:user

    • 账号名@完整IP。示例:user@10.1.1.1

    • 账号名@含通配符的IP。示例:user@10.1.1.%user@%.1.1.1user@1.%.1

    • 账号名@IP/掩码。示例:user@10.1.1.0/255.255.255.0

    数据库名

    选填

    需要应用当前规则的数据库名称。支持如下选项:

    • 所有数据库:表示当前规则对该集群中的所有数据库生效,此时右侧文本框中无需填入任何内容。

    • 包含:表示当前规则仅对目标数据库生效,此时右侧文本框中必须填入一个或多个数据库名称,多个名称间用英文逗号(,)分隔。

    表名

    选填

    需要应用当前规则的表名称。支持如下选项:

    • 所有表:表示当前规则对该集群中的所有表生效,此时右侧文本框中无需填入任何内容。

    • 包含:表示当前规则仅对目标表生效,此时右侧文本框中必须填入一个或多个表名称,多个名称间用英文逗号(,)分隔。

    字段名

    必填

    需要应用当前规则的字段名称。支持同时输多个字段名称,多个名称间用英文逗号(,)分隔。

  8. 单击确定

启用或禁用规则

  1. 登录PolarDB控制台

  2. 在控制台左上角,选择集群所在地域。

  3. 找到目标集群,单击集群ID。

  4. 在左侧导航栏,选择配置与管理>安全管理

  5. 安全管理页面,单击动态脱敏/加密页签。

  6. 找到目标规则,打开或关闭启/禁规则开关。

    image.png

    说明
    • 您也可以在规则列表中同时选中多个目标规则,然后单击列表下方的启用禁用进行批量启用禁用规则。

    • 禁用的规则不会被删除,而是继续保留在规则列表里。如有需要,您可以再次启用该规则。

  7. 在弹出的对话框中,单击确定

修改加密规则

  1. 登录PolarDB控制台

  2. 在控制台左上角,选择集群所在地域。

  3. 找到目标集群,单击集群ID。

  4. 在左侧导航栏,选择配置与管理>安全管理

  5. 安全管理页面,单击动态脱敏/加密页签。

  6. 找到目标规则,单击右侧操作中的修改,在弹出的对话框中,根据业务需要修改规则参数。

  7. 修改完成后,单击确认

删除加密规则

  1. 登录PolarDB控制台

  2. 在控制台左上角,选择集群所在地域。

  3. 找到目标集群,单击集群ID。

  4. 在左侧导航栏,选择配置与管理>安全管理

  5. 安全管理页面,单击动态脱敏/加密页签。

  6. 找到目标规则,单击右侧操作栏中的删除

  7. 在弹出的对话框中,单击确定