j9九游会登录/ 云数据库 rds_云数据库 rds for mysql/ 用户指南/ / 配置rds for mysql实例动态脱敏

更新时间：2025-08-19 gmt 08:00

查看pdf

配置rds for mysql实例动态脱敏-j9九游会登录

功能简介

动态脱敏是数据库在发送给客户端的时候，对数据进行脱敏的一种安全技术手段。rds for mysql的动态脱敏功能支持通过添加脱敏规则实现指定库、表、列对数据进行脱敏。

图1 拓扑图

开启动态脱敏功能，并且配置全字段脱敏规则(add_mask_rule('', '', '', ''))，使用sysbench工具压测，导入128张表，每张表25000行数据，qps值大约为40万时，数据库性能损耗在5%以内。

qps：query per second，数据库每秒执行的sql数。

版本限制

rds for mysql动态脱敏功能要求内核版本为8.0.32.250300及以上版本。

功能限制

当前仅支持对select语句数据脱敏。
脱敏规则对系统库不生效。系统库包括：mysql、information_schema、performance_schema、sys。
单个数据库名、表名、列名、用户名首尾的空格和特殊空白字符（如'\t'、'\r'、'\n'）都会被忽略。
单个数据库名、表名、列名长度不超过64 bytes，单个用户名长度不超过32 bytes。
管理员用户列表（rds_dynamic_masking_super_users）长度不超过1024 bytes。

不同数据类型的脱敏处理不同，详见表1。

表1 脱敏处理说明
数据类型	脱敏处理说明
整数型（tinyint、smallint、mediumint、int、bigint、boolean）	脱敏为正整数。
小数型（decimal、float、double）
时间型（year）
时间型（date、time、datetime、timestamp）	date脱敏之后的范围：[1000:01:01,9999:12:31.499999] time脱敏之后的范围：[00:00:00,838:59:59.499999] datetime、timestamp取值范围：[1971:01:01 00:00:00, 2037:12:31 23:59:59.49999]
字符串类型	脱敏为：******

rds for mysql动态脱敏相关参数

表2 参数说明
参数名称	级别	描述
rds_dynamic_masking_enabled	global	动态脱敏特性开关。默认值为off。
rds_dynamic_masking_super_users	global	支持配置多个管理员用户。默认值为空字符串('')。多个管理员用户之间使用英文逗号(,)分隔，脱敏规则对管理员用户不生效。示例：'user1,user2'
rds_masking_paramter_max_count	global	数据库名、表名、列名、用户名最大可配置个数。默认值为100，取值范围[1, 1000]。

使用方法

添加脱敏规则

语法

call dbms_mask.add_mask_rule(
         db_name text,
         table_name text,
         column_name text,
         user_name text);

表3 参数说明
参数	类型	说明
db_name	text	脱敏规则的数据库名称。支持配置多个数据库名称，多个数据库名称之间使用英文逗号(,)分隔。当db_name为空字符串('')时表示当前脱敏规则对所有数据库生效。
table_name	text	脱敏规则的表名称。支持配置多个表名称，多个表名称之间使用英文逗号(,)分隔。当table_name为空字符串('')时表示当前脱敏规则对db_name指定数据库下的所有表生效。
column_name	text	脱敏规则的列名称。支持配置多个列名称，多个列名称之间使用英文逗号(,)分隔。当column_name为空字符串('')时表示当前脱敏规则对db_name指定数据库下table_name指定表的所有列生效。
user_name	text	脱敏规则的用户名称。支持配置多个用户名称，多个用户名称之间使用英文逗号(,)分隔。当user_name为空字符串('')时表示表示当前脱敏规则对所有用户生效（不包含管理员用户）。

权限限制
只有root用户可以执行添加脱敏规则操作。
操作示例
- 添加一条脱敏规则，db_1、db_2数据库下tab_a表的col_a和col_b列对用户user1和user2脱敏生效。
```
call dbms_mask.add_mask_rule('db_1,db_2', 'tab_a', 'col_a,col_b', 'user1,user2');
```
- 添加一条脱敏规则，所有数据库下所有表的所有列对所有用户脱敏生效。
```
call dbms_mask.add_mask_rule('', '', '', '');
```

查询脱敏规则

语法
```
call dbms_mask.show_mask_rule();
```
权限限制
所有用户均可执行查询脱敏规则操作。
操作示例
```
call dbms_mask.show_mask_rule();
```

删除脱敏规则

语法

call dbms_mask.delete_mask_rule(mask_id bigint);

表4 参数说明
参数	类型	说明
mask_id	bigint	脱敏规则id。

权限限制
只有root用户可以执行删除脱敏规则操作。
操作示例
删除脱敏规则id为2的脱敏规则。
```
call dbms_mask.delete_mask_rule(2);
```

更新脱敏规则

语法

call dbms_mask.update_mask_rule(
         mask_id bigint,
         enabled enum('n','y'),
         db_name text,
         table_name text,
         column_name text,
         user_name text);

表5 参数说明
参数	类型	说明
mask_id	bigint	脱敏规则id。
enabled	enum	脱敏规则启用状态。支持启用('y')和禁用('n')两种状态。
db_name	text	脱敏规则的数据库名称。支持配置多个数据库名称，多个数据库名称之间使用英文逗号(,)分隔。当db_name为空字符串('')时表示当前脱敏规则对所有数据库生效。
table_name	text	脱敏规则的表名称。支持配置多个表名称，多个表名称之间使用英文逗号(,)分隔。当table_name为空字符串('')时表示当前脱敏规则对db_name指定数据库下的所有表生效。
column_name	text	脱敏规则的列名称。支持配置多个列名称，多个列名称之间使用英文逗号(,)分隔。当column_name为空字符串('')时表示当前脱敏规则对db_name指定数据库下table_name指定表的所有列生效。
user_name	text	脱敏规则的用户名称。支持配置多个用户名称，多个用户名称之间使用英文逗号(,)分隔。当user_name为空字符串('')时表示表示当前脱敏规则对所有用户生效（不包含管理员用户）。

权限限制
只有root用户可以执行更新脱敏规则操作。
操作示例
更新脱敏规则id为1的脱敏规则。更新该条规则的为禁用状态，db_test数据库下tab_1表所有列对用户user1数据脱敏。
```
call dbms_mask.update_mask_rule(1,'n','db_test', 'tab_1', '', 'user1');
```

启用脱敏规则

语法

call dbms_mask.enable_mask_rule(mask_id bigint);

表6 参数说明
参数	类型	说明
mask_id	bigint	脱敏规则id。

权限限制
只有root用户可以执行启用脱敏规则操作。
操作示例
启用脱敏规则id为2的脱敏规则。
```
call dbms_mask.enable_mask_rule(2);
```

禁用脱敏规则

语法

call dbms_mask.disable_mask_rule(mask_id bigint);

表7 参数说明
参数	类型	说明
mask_id	bigint	脱敏规则id。

权限限制
只有root用户可以执行禁用脱敏规则操作。
操作示例
禁用脱敏规则id为2的脱敏规则。
```
call dbms_mask.disable_mask_rule(2);
```

父主题：

上一篇：使用最新版本数据库

下一篇：使用数据安全服务dbss（建议）

意见反馈

文档内容是否对您有帮助？

提交成功！非常感谢您的反馈，我们会继续努力做到更好！您可在查看反馈及问题处理状态。

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

如您有其它疑问，您也可以通过华为云社区问答频道来与我们联系探讨