【PolarDB·专家篇】设置透明数据加密TDE

透明数据加密TDE（Transparent Data Encryption）可对数据文件执行实时I/O加密和解密，数据在写入磁盘之前进行加密，从磁盘读入内存时进行解密。TDE不会增加数据文件的大小，开发人员无需更改任何应用程序，即可使用TDE功能。

前提条件

• 仅产品系列为集群版或单节点的PolarDB MySQL引擎集群支持TDE，历史库不支持TDE。

  集群版和单节点的PolarDB MySQL引擎集群须满足如下版本要求：

  产品系列	版本	是否支持TDE
  集群版	5.6	Revision version需为5.6.1.0.21或以上。
  	5.7	Revision version需为5.7.1.0.3或以上。
  	8.0	Revision version需为8.0.1.1.1或以上。
  单节点	5.6	Revision version需为5.6.1.0.21或以上。
  	5.7	Revision version需为5.7.1.0.3或以上。
  	8.0	Revision version需为8.0.1.1.1或以上。
  历史库	8.0	不支持。

• 已开通KMS。具体操作请参见开通密钥管理服务。
• 已授权RDS访问KMS。具体操作请参见授权RDS访问KMS。

背景信息

PolarDB MySQL引擎的TDE加密采用国际流行的AES算法，密钥长度为256比特。TDE加密使用的密钥由密钥管理服务（KMS）产生和管理，PolarDB MySQL引擎不提供加密所需的密钥和证书。部分可用区不仅可以使用阿里云自动生成的密钥，也可以使用自带的密钥材料生成数据密钥，然后授权PolarDB MySQL引擎使用。

注意事项

• 如果是IO bound场景，开通TDE后，可能会对数据库性能产生一定影响。
• 已加入全球数据库网络的集群无法开启TDE功能，已开启TDE功能的集群也无法加入全球数据库网络。

····

更多内容可见：https://help.aliyun.com/document_detail/160659.html