tencent cloud

云数据库 PostgreSQL

动态与公告
产品动态
产品简介
产品概述
产品特性
产品优势
应用场景
信息安全说明
地域和可用区
产品功能列表
大版本生命周期说明
MSSQL 兼容版
产品计费
计费概述
实例类型与规格
购买方式
退费说明
欠费说明
备份空间收费说明
快速入门
创建 PostgreSQL 实例
连接 PostgreSQL 实例
管理 PostgreSQL 实例
数据导入
通过 DTS 迁移数据
内核能力介绍
内核版本概述
内核版本更新动态
查看内核版本
自研内核功能介绍
数据库审计
审计服务说明
开通审计服务
查看审计日志
修改审计服务
审计性能说明
用户指南
实例管理
升级实例
CPU 弹性扩容
只读实例
账号管理
数据库管理
参数管理
日志管理及分析
备份与恢复
数据迁移
插件管理
网络管理
访问管理
数据安全
租户及资源隔离
安全组
监控与告警
标签
AI 实践
使用 tencentdb_ai 插件调用大模型
使用 tencentdb_ai 插件构建 AI 应用
结合 Supabase 快速构建基于云数据库 PostgreSQL 的后端服务
实践教程
跨库访问
如何在 PostgreSQL 中自动创建分区
基于 pg_roaringbitmap 实现超大规模标签查找
一条 SQL 实现查询附近的人
如何配置云数据库 PostgreSQL 作为 GitLab 外部数据源
通过 cos_fdw 插件支持分级存储能力
通过 pgpool 实现读写分离
通过 auto_explain 插件实现慢 SQL 分析
使用 pglogical 进行逻辑复制
使用 Debezium 采集 PostgreSQL 数据
在 CVM 本地搭建 PostgreSQL 异地灾备环境
只读实例与只读组实践教程
如何使用云函数定时操作数据库
表膨胀处理
性能白皮书
测试方法
测试结果
API 文档
History
Introduction
API Category
Making API Requests
Instance APIs
Read-only Replica APIs
Backup and Recovery APIs
Parameter Management APIs
Security Group APIs
Performance Optimization APIs
Account APIs
Specification APIs
Network APIs
Data Types
Error Codes
常见问题
相关协议
Service Level Agreement
Terms of Service
词汇表
联系我们
文档云数据库 PostgreSQL用户指南数据安全开启透明数据加密

开启透明数据加密

PDF
聚焦模式
字号
最后更新时间: 2026-03-31 14:35:28

操作场景

云数据库 PostgreSQL 提供透明数据加密(Transparent Data Encryption,TDE)功能,透明加密指数据的加解密操作对用户透明,支持对数据文件进行实时 I/O 加密和解密,在数据写入磁盘前进行加密,从磁盘读入内存时进行解密,可满足静态数据加密的合规性要求。

限制条件

TDE 加密功能仅可在创建实例时开通,且开通后无法关闭。
内核版本为 PostgreSQL v10.17_r1.2、v11.12_r1.2、v12.7_r1.2、v13.3_r1.2、v14.2_r1.0 才支持加密功能。
须先开通密钥管理服务 KMS。如未开通,可通过 开通 KMS 提前购买 KMS 密钥管理服务。
若使用子账号进行操作,必须要创建用于授权云数据库 PostgreSQL 操作 KMS 的服务角色,可使用主账号访问 此链接 进行角色创建。
子账号必须具有“cam:PassRole”,“kms:GetServiceStatus”,“kms:GetRegions”的权限,如无权限,可使用主账号为操作账号进行赋予。
说明:
加密使用的密钥由 密钥管理服务 KMS 产生和管理,云数据库 PostgreSQL 不提供加密所需的密钥和证书。
透明数据加密 TDE 功能不会额外收费,但密钥管理服务 KMS 有可能产生额外费用,请参见 计费概述
当账号处于欠费状态时,无法从 KMS 获取密钥,可能导致迁移、升级等任务无法正常进行,请参见 欠费说明

注意事项

透明数据加密功能开启后不可关闭,如果解除了密钥授权,重启数据库会导致不可用。
开启 TDE 加密功能后,数据备份也会被同时加密,当备份文件被泄露时,无需担心数据泄露。若需要通过备份恢复数据,请使用云数据库 PostgreSQL 克隆实例 功能。
开启 TDE 加密功能后,可提高静态数据的安全性,但同时会影响访问加密数据库的读写性能,请结合实际情况选择开启 TDE 加密功能。根据实际测试平均损耗在2% - 3%。
如果主实例关联只读实例,只读实例会自动打开加密功能,且无法被管理。
开启 TDE 加密功能后,账户余额需大于等于0,否则会因为无法访问密钥管理系统而导致实例迁移失败。
为了避免实例误删除等意外场景,腾讯云特设置了密钥删除保护措施,若实例配置了 数据加密,则在实例隔离与实例下线后不会立即解绑密钥,直到实例在回收站中下线后的第三天后才支持从 KMS 中 删除密钥

操作步骤

1. 登录 PostgreSQL 购买页,在是否开启加密选项中,开启数据库加密功能。
2. 在弹出的对话框,选择密钥,单击确认加密
注意:
启用数据加密功能的实例,不支持使用物理备份恢复至其他主机上的自建数据库。
数据加密开通后不可关闭。

KMS 服务:若未开启 KMS 密钥管理服务,则需要 购买 KMS 密钥管理服务
KMS 密钥授权:若提示未授权,可通过单击授权链接,进入角色授权页面,使得云数据库 PostgreSQL 可以使用服务角色操作 KMS 密钥管理服务。
选择密钥
根据实例地域选择 KMS 密钥管理服务的地域,若提示“可选的 KMS 地域为空”,则代表当前地域不支持 KMS 服务,无法开启加密。
选择使用腾讯云自动生成的密钥时,由腾讯云自动生成密钥。
选择使用已有自定义密钥(BYOK)时,可选择自己创建的密钥。
说明:
如无自定义密钥,可单击前往创建,在密钥管理系统控制台创建密钥,详情请参见 创建密钥
上一篇: 透明数据加密概述下一篇: 设置 SSL 加密

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈