Tutorial Pengguna

Pengenalan Produk

Ikhtisar

Keunggulan

Kasus Penggunaan

Database Architecture

Kebijakan Isolasi Sumber Daya

Database Instance

Ketersediaan Tinggi (Beberapa AZ)

Wilayah dan AZ

Panduan Pembelian

Ikhtisar Penagihan

Metode Pembelian

Pembayaran Jatuh Tempo

Pengembalian Dana

Biaya Penyesuaian Instans

Penagihan Ruang Cadangan

Memulai

Ikhtisar

Membuat Instans MySQL

Panduan Operasi

Batas Penggunaan

Ikhtisar Operasi

Manajemen dan Pemeliharaan Instans

Peningkatan Versi

Memperluas Instans

Proksi Database

Manajemen Akun

Konfigurasi Parameter

Pencadangan dan Pengembalian

Migrasi data

Jaringan dan Keamanan

Pemantauan dan Alarm

Pusat Log

Tag

Laporan Resmi

Laporan Resmi Keamanan

Service Agreement

Service Level Agreement

Mengaktifkan Enkripsi Data Transparan

PDF

Mode fokus

Ukuran font

Terakhir diperbarui: 2026-01-09 21:48:53

Ikhtisar
TencentDB for MySQL dilengkapi dengan fitur enkripsi data transparan (TDE). Enkripsi transparan berarti enkripsi dan dekripsi data transparan bagi pengguna. TDE mendukung enkripsi I/O real-time dan dekripsi file data. Fitur ini mengenkripsi data sebelum ditulis ke disk, dan mendekripsi data saat dibaca ke memori dari disk, yang memenuhi persyaratan kepatuhan enkripsi data statis.
Penjelasan Manajemen Kunci Sandi
TencentDB for MySQL tidak menyediakan kunci sandi dan sertifikat yang diperlukan untuk enkripsi. Kunci sandi yang digunakan oleh fitur Enkripsi Data Transparan (Transparent Data Encryption, TDE) dibuat dan dikelola oleh Key Management System. Penjelasan terkait kunci sandi adalah sebagai berikut.
Fitur TDE tidak dikenakan biaya tambahan, namun KMS akan menimbulkan biaya tambahan. Harap lihat Ikhtisar Penagihan.
Key Management System (Versi Pasca-bayar) akan menghentikan layanan pada 30 Desember 2024, artinya Key Management System tidak akan lagi mendukung mode penagihan sesuai pemakaian (pasca-bayar), dan hanya mendukung mode penagihan prabayar.
Untuk pengguna yang telah menggunakan Key Management System (Versi Pasca-bayar), jika akun berada dalam status tunggakan, maka tidak akan dapat memperoleh kunci sandi dari KMS. Hal ini dapat menyebabkan tugas seperti migrasi dan peningkatan tidak dapat dilaksanakan secara normal.
Untuk pengguna yang baru membeli Key Management System (Versi Prabayar), jika akun berada dalam status tunggakan, karena KMS telah dibayar di muka untuk periode tertentu, maka tidak akan memengaruhi pengambilan kunci sandi KMS dalam periode ini. dan tugas seperti migrasi dan peningkatan tidak akan terpengaruh. Harap perhatikan waktu perpanjangan kunci sandi KMS. Jika kunci sandi KMS tidak diperpanjang setelah masa berlaku berakhir, hal ini juga akan memengaruhi penggunaan fitur TDE. Untuk mengelola kunci sandi KMS, harap kunjungi Konsol Key Management System.
Region yang didukung oleh instance TencentDB for MySQL dan Key Management System berbeda. Saat membuat kunci, jika tidak ada wilayah Tiongkok Daratan yang sesuai di KMS, Anda dapat memilih untuk membuatnya di wilayah Guangzhou. Jika tidak ada wilayah luar Tiongkok yang sesuai, Anda dapat memilih untuk membuatnya di wilayah Hong Kong, Tiongkok.
Setelah mengaktifkan fitur enkripsi TDE, jika akun (UIN) belum pernah membuat tabel terenkripsi, informasi kunci sandi yang sesuai mungkin tidak akan ditampilkan dalam daftar kunci sandi. Jika akun (UIN) pernah membuat tabel terenkripsi, maka informasi kunci sandi yang sesuai akan terlihat. Untuk langkah-langkah membuat tabel terenkripsi, harap merujuk ke Pertanyaan Umum.
Batasan
Arsitektur instance harus berupa node ganda atau tiga node dengan tipe umum atau khusus.
Versi database instance harus MySQL 5.7 atau MySQL 8.0.
Layanan KMS telah diaktifkan. Jika belum diaktifkan, Anda dapat mengaktifkan KMS dengan mengikuti panduan dalam proses aktivasi TDE.
Izin kunci sandi KMS telah diberikan. Jika belum diberikan, Anda dapat memberikan otorisasi dengan mengikuti panduan dalam proses aktivasi TDE.
Akun operasi harus memiliki hak akses QcloudAccessForMySQLRole. Jika tidak, Anda dapat memberikan otorisasi dengan mengikuti panduan dalam proses aktivasi TDE.
Peringatan
Setelah mencabut hubungan otorisasi, memulai ulang akan menyebabkan database MySQL tidak dapat digunakan.
Fitur enkripsi TDE tidak dapat dinonaktifkan setelah diaktifkan.
Setelah mengaktifkan fitur enkripsi TDE, jika pengguna perlu memulihkan data ke perangkat lokal, data harus didekripsi terlebih dahulu.
Mengaktifkan fitur enkripsi TDE dapat meningkatkan keamanan data statis, tetapi akan memengaruhi kinerja baca/tulis saat mengakses database terenkripsi. Harap aktifkan fitur enkripsi TDE berdasarkan situasi aktual Anda.
Jika instance utama terafiliasi dengan instance hanya baca atau instance pemulihan bencana, Anda hanya perlu mengaktifkan fitur TDE pada instance utama secara proaktif. Maka enkripsi data untuk instance hanya baca dan instance pemulihan bencana akan diaktifkan secara bersamaan.
Saat menggunakan fitur TDE, pastikan kunci sandi KMS dalam status penggunaan normal. Jika tidak, kunci sandi dari KMS tidak dapat diperoleh, yang dapat menyebabkan tugas seperti migrasi dan peningkatan tidak dapat berjalan normal.
Mengaktifkan fitur enkripsi TDE akan meningkatkan konsumsi sumber daya CPU, yang memengaruhi sekitar 5% kinerja.
Setelah mengaktifkan fitur enkripsi TDE, aplikasi dan pengguna yang telah diautentikasi oleh database dapat mengakses data aplikasi secara transparan.
Setelah mengaktifkan fitur enkripsi TDE, efek kompresi pencadangan mungkin menurun.
Setelah mengaktifkan fitur enkripsi TDE, instance MySQL versi 8.0 akan dienkripsi secara otomatis, artinya tabel yang dibuat setelah mengaktifkan fitur enkripsi TDE akan terenkripsi secara default.
Petunjuk
Mengaktifkan TDE
1. Login ke Konsol MySQL, dalam daftar instance, klik ID Instance atau Manajemen di kolom Operasi untuk masuk ke halaman manajemen.
2. Pada tab Data Encryption (Enkripsi Data), aktifkan tombol beralih Encryption Status (Status Enkripsi).
﻿
Perhatian:
Instans dengan TDE diaktifkan tidak dapat dipulihkan dari cadangan fisik ke database yang dibuat sendiri di server lain.
Setelah mengaktifkan TDE, Anda tidak dapat menonaktifkannya.
3. Di kotak dialog pop-up, aktifkan KMS, berikan izin kunci KMS, pilih kunci, lalu klik Encrypt (Enkripsi).
Jika Anda memilih Use key auto-generated by Tencent Cloud (Gunakan kunci yang dibuat secara otomatis oleh Tencent Cloud), kunci tersebut akan dibuat secara otomatis oleh Tencent Cloud.
﻿
Jika Anda memilih Use existing custom key (Gunakan kunci kustom yang ada), Anda dapat memilih kunci yang dibuat sendiri.
Keterangan:
Jika tidak ada kunci kustom, klik go to create (langsung buat) untuk membuat kunci di konsol KMS. Untuk informasi selengkapnya, lihat Membuat Kunci.
﻿
Mengenkripsi tabel
Setelah mengaktifkan TDE, Anda dapat mengenkripsi tabel instans MySQL dengan menjalankan contoh pernyataan DDL pada tabel.
Untuk mengenkripsi tabel saat dibuat, jalankan pernyataan berikut:
CREATE TABLE t1 (c1 INT) ENCRYPTION=’Y’;
Untuk mengenkripsi tabel yang ada, jalankan pernyataan berikut:
ALTER TABLE t1 ENCRYPTION=’Y’;
Mendekripsi tabel
Setelah mengaktifkan TDE, Anda dapat mendekripsi tabel instans MySQL dengan menjalankan contoh pernyataan DDL pada tabel.
Untuk mendekripsi tabel terenkripsi, jalankan pernyataan berikut:
ALTER TABLE t1 ENCRYPTION=’N’;
Pertanyaan Umum
Mengapa tidak ada informasi kunci sandi dalam daftar kunci sandi setelah mengaktifkan enkripsi TDE?
Gejala Masalah
﻿
Daftar Kunci Sandi Normal Setelah Mengaktifkan Enkripsi TDE
﻿
Saran Penanganan
1. Pertama, periksa apakah status enkripsi KMS normal, apakah akun mengalami keterlambatan pembayaran, serta apakah instance TencentDB for MySQL dan sistem manajemen kunci sandi dalam kondisi masa berlaku habis dan belum diperpanjang. Harap pastikan semua item di atas normal sebelum mencoba kembali.
2. Jika ini pertama kalinya Anda menggunakan enkripsi TDE dan belum pernah membuat tabel terenkripsi di bawah akun (UIN) Anda, maka tidak akan ada informasi kunci sandi dalam daftar kunci sandi. Harap merujuk pada perintah berikut, buat tabel terenkripsi di instance data Anda, lalu coba lagi.
  CREATE TABLE `user_test` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `userId` int(11) NOT NULL,
  `age` int(11) NOT NULL,
  `name` varchar(64) DEFAULT NULL,
  `ins_date` varchar(10) DEFAULT NULL,
  PRIMARY KEY (`id`),
  KEY `idx_ins_date` (`ins_date`),
  KEY `idx_userId` (`userId`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 ENCRYPTION='Y';
Mengapa kunci sandi tidak dapat digunakan setelah mengaktifkan enkripsi TDE?
Pastikan status enkripsi KMS Anda normal, tidak ada tunggakan pada akun, serta masa berlaku instance TencentDB for mySQL dan Key Management System jatuh tempo tetapi belum dibayar. Karena Key Management System (Versi Pasca-bayar) tidak dapat dibuat lagi, pembelian baru hanya mendukung versi prabayar. Oleh karena itu, bagi pengguna yang sudah menggunakan Key Management System (Versi Pasca-bayar), jika status enkripsi KMS tidak normal atau terdapat tunggakan pada akun, kunci sandi tidak akan dapat digunakan. Harap isi ulang akun Anda dan coba lagi.