tencent cloud

文档反馈

存储加密

最后更新时间:2024-04-19 09:53:24

    操作场景

    云数据库 MongoDB 提供存储加密的功能(也称为透明数据加密 TDE - Transparent Data Encryption,或者静态数据加密),在数据写入磁盘前进行加密,从磁盘读入内存时自动进行解密,由数据库管理系统来实现,满足数据加密的合规性要求。

    限制条件

    实例类型版本须为 MongoDB 4.4、5.0。
    操作账号已 开通密钥管理系统(Key Management Service,KMS) 服务。如未开通,可在开通数据加密过程中根据引导开通 KMS。
    操作账号需具有 MongoDB_QCSLinkedRoleInKMS角色权限。该角色及关联策略是 MongoDB 授予 KMS 创建密钥&管理密钥的权限。 如无权限,可在开通数据加密过程中根据引导进行授权。
    说明:
    加密使用的密钥由 密钥管理服务 KMS 产生和管理,云数据库 MongoDB 不提供加密所需的密钥和证书。
    存储加密功能不会额外收费,但密钥管理服务 KMS 有可能产生额外费用,请参考 计费概述
    当账号处于欠费状态时,无法从 KMS 获取密钥,可能导致迁移、升级等任务无法正常进行,请参见 欠费说明

    注意事项

    撤销 KMS 授权关系后,重启会造成 MongoDB 数据库不可用。
    开通存储加密前,自动备份的方式不能为物理备份;开通后,不能修改自动备份的方式为物理备份,不能手动物理备份。
    存储加密功能开通后无法关闭,且不支持修改密钥。
    存储加密功能后,密钥被禁用或删除后加密数据无法访问。
    开启存储加密功能后,可提高数据的安全性,但同时会影响访问加密数据库的读写性能,请结合实际情况选择开启存储加密功能。
    开启存储加密功能后,当账号处于欠费状态时,无法从 KMS 获取密钥,可能导致迁移、升级等任务无法正常进行。
    开启存储加密功能后,会增加 CPU 资源的消耗,大约会影响5%左右的性能。
    开启存储加密功能后,经过数据库身份验证的应用和用户可以透明地访问应用数据。
    开启存储加密功能后,已存在库表会保持非加密状态;如果想对已有库表进行存储加密,建议先创建一个新的加密实例,再将已有数据迁移到新实例。

    操作步骤

    1. 登录 MongoDB 控制台
    2. 在左侧导航栏 MongoDB 的下拉列表中,选择副本集实例或者分片实例。副本集实例与分片实例操作类似。
    3. 在右侧实例列表页面上方,选择地域。
    4. 在实例列表中,找到目标实例。
    您可以通过实例列表右上角的搜索框,输入实例 ID、实例名称、内网 IP 或标签键来查找目标实例。
    如果实例在实例列表未找到,请在左侧导航栏选择任务管理,
    5. 在目标实例的实例 ID / 名称列,单击实例 ID,进入实例详情页面。
    6. 切换到数据安全页面,选择存储加密页签,在存储加密设置下面的加密状态,单击点击开通
    
    7. 设置数据加密的窗口,开通 KMS 服务和授予 KMS 管理密钥权限,在选择密钥选项中选择密钥的生成方式。
    使用腾讯云自动生成密钥:由腾讯云自动生成密钥。
    使用已有自定义密钥:选择已在 KMS 密钥管理页面创建的密钥,在下方下拉框中分别选择实例所在地域与密钥的名称。
    说明:
    使用自定义密钥开通存储加密,需指定密钥用途对称加解密。具体信息,请参见 创建密钥
    如果无自定义密钥,需单击前往创建,在密钥管理系统控制台创建密钥。具体信息,请参见 创建密钥
    
    8. 单击加密,完成配置。在左侧导航栏单击任务管理,等待任务执行完成。
    
    9. 切换到存储加密页面,可看到加密状态更新为已开通,并在密钥列表,可看到已创建的密钥。
    
    
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持