服務端加密簡介

關系型數據庫服務的管理控制臺目前支持數據加密服務（Data Encryption Workshop，簡稱DEW）托管密鑰的服務端加密，即使用數據加密服務提供的密鑰進行服務端加密。

數據加密服務通過使用硬件安全模塊 (Hardware Security Module，簡稱HSM) 保護密鑰安全的托管，幫助用戶輕松創建和控制加密密鑰。用戶密鑰不會明文出現在硬件安全模塊之外，避免密鑰泄露。對密鑰的所有操作都會進行訪問控制及日志跟蹤，提供所有密鑰的使用記錄，滿足監督和合規性要求。

當啟用服務端加密功能后，用戶創建實例和擴容磁盤時，磁盤數據會在服務端加密成密文后存儲。用戶下載加密對象時，存儲的密文會先在服務端解密為明文，再提供給用戶。

使用服務端加密方式加密磁盤

用戶首先需要在數據加密服務中創建密鑰（或者使用數據加密服務提供的默認密鑰）。創建實例時，在“磁盤加密”項選擇“加密”，選擇或創建密鑰，該密鑰是最終租戶密鑰，使用該密鑰進行服務端加密，使磁盤更安全。

• 已通過統一身份認證服務添加關系型數據庫所在區域的KMS Administrator權限。

• 如果用戶需要使用自定義密鑰加密上傳對象，則需要先通過數據加密服務創建密鑰。目前關系型數據庫只支持對稱密鑰。

• RDS購買磁盤加密后，在實例創建成功后不可修改磁盤加密狀態，且無法更改密鑰。選擇“磁盤加密”，存放在對象存儲服務上的備份數據不會被加密。

• 設置了磁盤加密或備份數據加密后，提醒您保存好密鑰，一旦密鑰被禁用、刪除或凍結，會導致數據庫不可用，并且可能無法恢復數據，具體場景如下：

        ?    針對磁盤加密，備份數據不加密的場景：可以通過備份恢復到新實例的方式恢復數據。

        ?    針對磁盤加密，并且備份數據加密的場景：無法恢復數據。

• 選擇磁盤加密的實例，新擴容的磁盤空間依然會使用原加密密鑰進行加密。