首批通过分布式安全可靠测评,为关键业务系统打造
tde_method
更新时间:2026-04-13 14:17:26
说明
该配置项从 V2.2.50 版本开始引入。
功能描述
tde_method 用于设置透明表空间加密的方式。
权限要求
查询配置项
sys租户和所有用户租户均可以使用SHOW PARAMETERS语句或视图GV$OB_PARAMETERS查询该配置项。修改配置项
sys租户和用户租户均可使用ALTER SYSTEM SET语句修改用户租户下的该配置项。
属性说明
| 属性 | 描述 |
|---|---|
| 参数类型 | String |
| 默认值 | none |
| 取值范围 |
|
| 是否可修改 | 是,支持通过 ALTER SYSTEM SET 语句修改。 |
| 是否重启 OBServer 节点生效 | 否,设置后立即生效。 |
使用说明
tde_method 是数据加密功能的前置配置。不同的加密功能对 tde_method 取值有不同要求:
| 加密功能 | 支持的 tde_method 取值 |
说明 |
|---|---|---|
| 数据透明加密(TDE) | 非 none 值 ,推荐使用 obcloud 值 |
详情参见 数据透明加密概述 |
| 列加密 | 非 none 值 ,推荐使用 obcloud 值 |
详情参见 列加密概述 |
| 函数加密 | 非 none 值 ,推荐使用 obcloud 值 |
详情参见 ENHANCED_AES_ENCRYPT |
obcloud 模式说明
obcloud 选项用于控制 TDE 通过统一 KMS 代理服务进行主密钥管理。
具体使用方式为:
开启加密:使用
obcloud统一 KMS 代理服务的形式进行主密钥管理。ALTER SYSTEM SET tde_method = 'obcloud';配置参数:在
external_kms_info参数中配置 KMS 代理服务所需的属性:kms_host:指向 OceanBase Cloud kms 服务的 endpointaccess_key_id:用来做签名认证的 akaccess_key_secret:用来做签名认证的 skcmk_id:用户主密钥 id
OBCloud 的 TDE 服务方式,详情请参见 OBCloud 云数据库 TDE。云厂商的 KMS 密钥请参见 云厂商账号授权。
clog 加密说明
注意
开启 clog 加密后,OBCDC 无法使用。
bkmi 和 obcloud 方式的透明加密支持 clog 加密,但需要通过 enable_clog_encryption 配置项手动开启。
配置示例
设置透明表空间加密的方式为 internal。
obclient> ALTER SYSTEM SET tde_method= 'internal';
设置透明表空间加密的方式为 obcloud(OBCloud 场景下需同时配置 external_kms_info,以下值为示例,请替换为实际 endpoint 与密钥信息)。
obclient> ALTER SYSTEM SET tde_method = 'obcloud';
obclient> ALTER SYSTEM SET external_kms_info = '{
"kms_host": "https://kms.example.oceanbase.com",
"access_key_id": "LTAI****************",
"access_key_secret": "your_access_key_secret",
"cmk_id": "your_customer_master_key_id"
}';
相关文档
- 有关透明加密的更多信息,请参见 透明加密。
- 有关列加密的更多信息,请参见 列加密功能概述。
- 有关通过手动调用函数进行 AES 加密/解密功能的更多信息,请参见 ENHANCED_AES_ENCRYPT 和 ENHANCED_AES_DECRYPT。