对运维安全无能为力 基于pgcypto的加密 • 可以满足数据安全要求 • 非原生方案 • 问题很多 基于pgcypto的数据加密方案 pgcypto Postgresql社区提供的一款简单加密插件 • https://www.postgresql.org/docs/13/pgcrypto.html • https://github.com/greenplum-db/gpdb/tree/m 加解密对应的 object keys • Object keys: 加解密对应的数据文件 秘钥管理 • 支持外部的KMS服务 • Master key保存于KMS中 • Master key不会出KMS • 加密的major key会被送进KMS中，由master key来解密，KMS只返回解密后的Major key. • 所有的object keys和major keys 存储于数据库本地. Encrypted table files Encrypted log files Encrypted buffer files Encrypted Files In KMS In DATABASE 工作流程 GPDB透明加密解析 KMS Master key Disk Memory Major key (Encrypted) Disk Memory/Client Object key

索引和约束 5.2 5.1 5.0 4.0 表达式索引 实验特性 实验特性 实验特性 实验特性 列式存储 (TiFlash) Y Y Y Y RocksDB 引擎 Y Y Y Y Titan 插件 Y Y Y Y 1TiDB 误将 latin1 处理为 utf8 的子集。见 TiDB #18955。 35 索引和约束 5.2 5.1 5.0 4.0 不可见索引 Y Y Y N 复合主键 上传对象的存储类别（例如 STANDARD、STANDARD_IA） sse 用于加密上传的服务器端加密算法（可以设置为空，AES256 或 aws:kms） sse-kms-key-id 如果 sse 设置为 aws:kms，则使用该参数指定 KMS ID acl 上传对象的 canned ACL（例如，private、authenticated-read） 注意： 不建议在存储 URL 中直接传递访问密钥和 上传对象的存储类别（例如 STANDARD、STANDARD_IA） --s3.sse 用于加密上传的服务器端加密算法（可以设置为空，AES256 或 aws:kms） --s3.sse-kms-key-id 如果 --s3.sse 设置为 aws:kms，则使用该参数指定 KMS ID --s3.acl 上传对象的 canned ACL（例如，private、authenticated-read） --s3.provider

– BACKUP_ADMIN – RESTORE_ADMIN – ROLE_ADMIN – CONNECTION_ADMIN – SYSTEM_VARIABLES_ADMIN 你也可以使用插件来添加新的权限。若要查看全部的动态权限，请执行 SHOW PRIVILEGES 语句。用户文 档 • 新增安全增强模式 (Security Enhanced Mode) 配置项，用于对 TiDB 管理员进行更细粒度的权限划分。 索引和约束 5.2 5.1 5.0 4.0 表达式索引 实验特性 实验特性 实验特性 实验特性 列式存储 (TiFlash) Y Y Y Y RocksDB 引擎 Y Y Y Y Titan 插件 Y Y Y Y 不可见索引 Y Y Y N 复合主键 Y Y Y Y 唯一约束 Y Y Y Y 整型主键上的聚簇索引 Y Y Y Y 复合或非整型主键上的聚簇索引 Y Y Y N 2.3 上传对象的存储类别（例如 STANDARD、STANDARD_IA） sse 用于加密上传的服务器端加密算法（可以设置为空，AES256 或 aws:kms） sse-kms-key-id 如果 sse 设置为 aws:kms，则使用该参数指定 KMS ID acl 上传对象的 canned ACL（例如，private、authenticated-read） 注意： 不建议在存储 URL 中直接传递访问密钥和

5.1 5.0 4.0 表达式索引 实验特性 实验特性 实验特性 实验特性 实验特性 列式存储 (TiFlash) Y Y Y Y Y RocksDB 引擎 Y Y Y Y Y Titan 插件 Y Y Y Y Y 不可见索引 Y Y Y Y N 复合主键 Y Y Y Y Y 唯一约束 Y Y Y Y Y 整型主键上的聚簇索引 Y Y Y Y Y 复合或非整型主键上的聚簇索引 Y 上传对象的存储类别（例如 STANDARD、STANDARD_IA） sse 用于加密上传的服务器端加密算法（可以设置为空，AES256 或 aws:kms） sse-kms-key-id 如果 sse 设置为 aws:kms，则使用该参数指定 KMS ID acl 上传对象的 canned ACL（例如，private、authenticated-read） 注意： 不建议在存储 URL 中直接传递访问密钥和 上传对象的存储类别（例如 STANDARD、STANDARD_IA） --s3.sse 用于加密上传的服务器端加密算法（可以设置为空，AES256 或 aws:kms） --s3.sse-kms-key-id 如果 --s3.sse 设置为 aws:kms，则使用该参数指定 KMS ID --s3.acl 上传对象的 canned ACL（例如，private、authenticated-read） --s3.provider

latin1 处理为 utf8 的子集。见 TiDB #18955。 45 索引和约束 5.4 5.3 5.2 5.1 5.0 4.0 RocksDB 引擎 Y Y Y Y Y Y Titan 插件 Y Y Y Y Y Y 不可见索引 Y Y Y Y Y N 复合主键 Y Y Y Y Y Y 唯一约束 Y Y Y Y Y Y 整型主键上的聚簇索引 Y Y Y Y Y Y 复合或非整型主键上的聚簇索引 上传对象的存储类别（例如 STANDARD、STANDARD_IA） sse 用于加密上传的服务器端加密算法（可以设置为空，AES256 或 aws:kms） sse-kms-key-id 如果 sse 设置为 aws:kms，则使用该参数指定 KMS ID acl 上传对象的 canned ACL（例如，private、authenticated-read） 注意： 不建议在存储 URL 中直接传递访问密钥和 上传对象的存储类别（例如 STANDARD、STANDARD_IA） --s3.sse 用于加密上传的服务器端加密算法（可以设置为空，AES256 或 aws:kms） --s3.sse-kms-key-id 如果 --s3.sse 设置为 aws:kms，则使用该参数指定 KMS ID --s3.acl 上传对象的 canned ACL（例如，private、authenticated-read） --s3.provider

· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 5091 17.8.1 Key Management Service (KMS) · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 5091 起，日志备份数据也支持客户端加密。在 上传日志备份到备份存储之前，你可以选择以下方式之一对日志备份数据进行加密，从而确保备份数 据的安全性： – 使用自定义的固定密钥加密 – 使用本地磁盘的主密钥加密 – 使用 KMS（密钥管理服务）的主密钥加密 更多信息，请参考用户文档。 44 • BR 降低了从云存储服务系统恢复数据的权限要求 #55870 @Leavrth 在 v8.4.0 之前，BR 在恢复过程中 ctr 三 种算法， 缺省值为 plaintext， 表示不加 密。 BR --master- �→ key 新增 设置日志 备份数据 的主密钥， 可以是基 于本地磁 盘的主密 钥或基于 云 KMS (Key Manage- ment Service) 的 主密钥。 62 配置文件 或组件 配置项 修改类型 描述 BR --master- �→ key- �→ crypter �→

起，日志备份数据也支持客户端加密。在 上传日志备份到备份存储之前，你可以选择以下方式之一对日志备份数据进行加密，从而确保备份数 据的安全性： – 使用自定义的固定密钥加密 – 使用本地磁盘的主密钥加密 – 使用 KMS（密钥管理服务）的主密钥加密 更多信息，请参考用户文档。 39 • BR 降低了从云存储服务系统恢复数据的权限要求 #55870 @Leavrth 在 v8.4.0 之前，BR 在恢复过程中 ctr 三 种算法， 缺省值为 plaintext， 表示不加 密。 BR --master- �→ key 新增 设置日志 备份数据 的主密钥， 可以是基 于本地磁 盘的主密 钥或基于 云 KMS (Key Manage- ment Service) 的 主密钥。 57 配置文件 或组件 配置项 修改类型 描述 BR --master- �→ key- �→ crypter �→ @mjonss – 修复 INFORMATION_SCHEMA.RUNAWAY_WATCHES 表中时间类型不正确的问题 #54770 @HuSharp • TiKV – 修复当主密钥存储于 KMS (Key Management Service) 时无法轮换主密钥的问题 #17410 @hhwyt 61 – 修复删除大表或分区后可能导致的流量控制问题 #17304 @Connor1996

(Cloud KMS)（实验特性）#8906 @glorv TiKV 通过静态加密功能对存储的数据进行加密，以确保数据的安全性。静态加密的安全核心点在于密 钥管理。从 v8.0.0 起，你可以通过 Google Cloud KMS 管理 TiKV 的主密钥，构建基于 Cloud KMS 的静态加密能 力，从而提高用户数据的安全性。 39 要启用基于 Google Cloud KMS 的静态加密，你需要在 Y Y 使用 FastScan 加速 OLAP 场景下的查询 Y Y Y Y E N N N N N N N RocksDB 引擎 Y Y Y Y Y Y Y Y Y Y Y Y Titan 插件 Y Y Y Y Y Y Y Y Y Y Y Y Titan Level Merge E E E E E E E E E E E E 使用 bucket 提高数据扫描并发度 E E E E E E 的定制版本。TiDB-JDBC 基于 MySQL 官方 8.0.29 版本编译，修复了原 JDBC 在 prepare 模式下多参数、多字段 EOF 的错误，并新增 TiCDC snapshot 自动维护和 SM3 认证插件等功能。 基于 SM3 的认证仅在 TiDB 的 TiDB-JDBC 中支持。 如果你使用的是 Maven，请将以下内容添加到你的 ：

Y Y Y Y Y Y Y Y 使用 FastScan 加速 OLAP 场景下的查询 Y Y Y E N N N N N RocksDB 引擎 Y Y Y Y Y Y Y Y Y Titan 插件 Y Y Y Y Y Y Y Y Y Titan Level Merge E E E E E E E E E 使用 bucket 提高数据扫描并发度 E E E E E N N N N 不可见索引 的定制版本。TiDB-JDBC 基于 MySQL 官方 8.0.29 版本编译，修复了原 JDBC 在 prepare 模式下多参数、多字段 EOF 的错误，并新增 TiCDC snapshot 自动维护和 SM3 认证插件等功能。 基于 SM3 的认证仅在 TiDB 的 TiDB-JDBC 中支持。 如果你使用的是 Maven，请将以下内容添加到你的 ： Kafka Connector 及其依赖项添加到 Flink 安装目录中。下 载下列 jar 文件至 Flink 安装目录下的 lib 目录中，如果你已经运行了 Flink 集群，请重启集群以加载新的 插件。 639 • flink-connector-kafka-1.15.0.jar • flink-sql-connector-kafka-1.15.0.jar • kafka-clients-3

@dveeden – 修复执行 ALTER TABLE ... REMOVE PARTITIONING 后可能导致数据丢失的问题 #53385 @mjonss – 修复使用 auth_socket 认证插件时，TiDB 在某些情况下未能拒绝不符合身份认证的用户连接的问 题 #54031 @lcwangchao – 修复 JSON 相关函数在某些情况下报错信息与 MySQL 不一致的问题 #53799 Y Y Y Y Y Y 使用 FastScan 加速 OLAP 场景下的查询 Y Y Y Y E N N N N N RocksDB 引擎 Y Y Y Y Y Y Y Y Y Y Titan 插件 Y Y Y Y Y Y Y Y Y Y Titan Level Merge E E E E E E E E E E 使用 bucket 提高数据扫描并发度 E E E E E E N N N N 的定制版本。TiDB-JDBC 基于 MySQL 官方 8.0.29 版本编译，修复了原 JDBC 在 prepare 模式下多参数、多字段 EOF 的错误，并新增 TiCDC snapshot 自动维护和 SM3 认证插件等功能。 基于 SM3 的认证仅在 TiDB 的 TiDB-JDBC 中支持。 如果你使用的是 Maven，请将以下内容添加到你的 ：