1、阿里云KMS（密钥管理服务）支持软件密钥与硬件密钥两种；

    1.1软件密钥主要是通过软件模块生产符合国际的加密算法，可以对业务与云产品进行加密；

    1.2硬件密钥是通过KMS托管Cloudhsm的方式针对加密机内的密钥进行管理，支持国密算法与国际密码算法。

    1.3 默认密钥，阿里云的KMS产品在每个Region都提供默认密钥（CMK的默认密钥）为云产品提供免费的加密能力，该密钥支持BYOK（Bring your own key）
 

2、数据库产品-云产品加密：（落盘加密、TDE加密 ）
2.1 数据库云盘加密, 在采购阿里云的数据库产品时，可以选择是否针对该系统盘或者拓展磁盘进行加密；

该加密类型是针对数据库与数据存放的数据盘进行加密，不影响业务的整个使用，业务不感知。

2.2 数据库产品TDE加密：

2.2.1 TDE加密架构图

2.2.2 TDE 开启限制说明：

• 实例类型如下：

  • RDS MySQL 8.0高可用系列本地盘实例（内核小版本20191015及以上）

  • RDS MySQL 5.7高可用系列本地盘实例（内核小版本20191015及以上）

  • RDS MySQL 5.6

2.2.3 TDE开启

 登陆到阿里云的数据库产品控制台，以RDS为力，需要登陆到产品控制台，选择数据安全性，并且在页面中选择TDE模块；
 

开启TDE时，可以选择默认阿里云提供免费密钥，也可以选择自己采购的KMS创建的用户主密钥进行透明加密；

备注：

1. 开通前请先确保已开通KMS服务。
2. 禁用密钥，设置了删除密钥计划，或者删除了密钥材料，都会导致CMK不可用。请谨慎操作。
3. 撤销授权关系，并重启后，RDS实例会不可用。请谨慎操作。
4. 当前页面操作人员需要使用主账号，或者具有AliyunSTSAssumeRoleAccess权限的账号。

开启TDE之后数据库性能有所下降，但是下降幅度较低；

名词解释：透明数据加密TDE（Transparent Data Encryption），即对数据文件执行实时I/O加密和解密。数据在写入磁盘之前进行加密，从磁盘读入内存时进行解密。TDE不会增加数据文件的大小，开发人员无需更改任何应用程序，即可使用TDE功能。