阿里云数据库 MongoDB 版设置透明数据加密TDE

影响

• 开通TDE的过程中，实例会重启一次并出现连接闪断，建议您在业务低峰期操作并确保应用有重连机制。
• 开通TDE功能后，会增加实例的CPU使用率。
• 加密后的集合不再支持通过物理备份恢复至自建数据库。如果您需要将加密后的集合恢复到自建数据库，您可以通过逻辑备份恢复至自建数据库。

注意事项

• TDE功能开通后无法关闭。
• 当前TDE的开启粒度为实例，可支持集合粒度的控制。

  
  说明 如果业务上有特殊需求，您可以在创建集合时，指定该集合不被加密，详情请参见设置指定的集合不被加密。

• TDE功能开启后，仅加密新创建的集合，已有的集合不会被加密。
• TDE所使用的密钥，由密钥管理服务KMS（Key Management Service）统一生成和管理，云数据库MongoDB不提供加密所需的密钥和证书。

操作步骤

1. 登录MongoDB管理控制台。
2. 在左侧导航栏，单击副本集实例列表或分片集群实例列表。
3. 找到目标实例，单击实例ID。
4. 在左侧导航栏，选择数据安全性 > TDE 。
5. 单击TDE状态右侧的滑块，开启TDE加密。

   

6. 在弹出的重启实例对话框中，单击确定。

   实例进入TDE修改中状态，当转变为运行中状态即代表操作完成。

设置指定的集合不被加密

开启TDE加密后，所有新创建的集合都会被加密。如果业务上有特殊需求，您可以在创建集合时，指定该集合不被加密。

1. 通过Mongo Shell连接数据库，详情请参见连接副本集实例或连接分片集群实例。
2. 执行下述命令创建集合，指定该集合不被加密。

   db.createCollection("<collection_name>",{ storageEngine: { wiredTiger: { configString: "encryption=(name=none)" } } })

   
   说明 <collection_name>：集合名。

   示例

   db.createCollection("customer",{ storageEngine: { wiredTiger: { configString: "encryption=(name=none)" } } })