概述

名词解释

透明数据加密TDE（Transparent Data Encryption）：对数据文件执行实时I/O加密和解密，数据在写入磁盘之前进行加密，从磁盘读入内存时进行解密。TDE不会增加数据文件的大小，研发人员无需更改任何应用程序，即可使用TDE功能。

密钥管理服务（Key Management Service，简称：KMS）：是百度智能云提供的一款密钥管理服务，您可以通过该项服务便捷、安全、可靠地在云上管理密钥类信息。用户可以从繁杂的密钥设备管理和安全机制实现中解脱出来，只需要专注于业务上层的加解密功能场景。查看详情

产品优势

1. 无须修改应用程序。
2. 数据在写入磁盘之前进行加密。若磁盘上的数据被盗，没有密钥，无法获取数据。

前提条件

开通 TDE 前，需要满足以下条件：

• 实例类型及版本：支持MySQL 5.7版本的双机高可用版主实例、MySQL 5.7 的只读实例
• 前提条件：使用TDE，须开通主实例所在地域的密钥管理服务KMS
• 企业组织：主账户、子账户均可使用
• 绑定关系：主实例开通TDE后，只读实例跟随主实例开通

注意事项

• 地域限制：KMS开通地域须与主实例所在地域相同，当前仅支持华北-北京、华东-苏州、华南-广州这三个地域
• 开通后：无法克隆实例、创建或加入热活实例，无法关闭并且会显著增加CPU使用率，请您谨慎评估。
• 密钥ID：开通KMS服务后产生的密钥ID，在开通TDE后请勿禁用或删除
• 费用：TDE免费使用、KMS收费，详情请见KMS费用说明

开通 KMS 并创建密钥

步骤1：若您已开通KMS，可跳过此步骤，进行下一步。若您未开通KMS，请先开通KMS服务，具体可参考开通KMS。

步骤2：创建密钥

说明：关于KMS密钥的其他操作请见以下链接

• 禁用和启用密钥
• 计划删除密钥

开通 TDE

在实例列表页，选择一个MySQL 5.7 双机版主实例，点击实例名称，进入实例详情页。点击左侧导航栏的安全项，进入安全管理页面。点击页面上方页签中的TDE，进行开通服务。

开通前，系统会检查您的账号是否开启了KMS。开通KMS后，您可以进行TDE的开通。详情如下：

步骤1：进入TDE开通页面

步骤2：点击“去开通”按钮，选择一个密钥ID，点击“确定”按钮

步骤3：点击确定按钮后，可看到当前实例正在开通TDE

当红框中的状态变为“运行中”的时候，则表示TDE开通成功。