· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 2915 14.11.4 静态加密 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · • TiKV 静态加密支持 Google Key Management Service (Cloud KMS)（实验特性）#8906 @glorv TiKV 通过静态加密功能对存储的数据进行加密，以确保数据的安全性。静态加密的安全核心点在于密 钥管理。从 v8.0.0 起，你可以通过 Google Cloud KMS 管理 TiKV 的主密钥，构建基于 Cloud KMS 的静态加密能 力，从而提高用户数据的安全性。 力，从而提高用户数据的安全性。 39 要启用基于 Google Cloud KMS 的静态加密，你需要在 Google Cloud 上创建一个密钥，然后在 TiKV 配置文件 中添加 [security.encryption.master-key] 部分的配置。 更多信息，请参考用户文档。 • 增强 TiDB 日志脱敏 #51306 @xhebox TiDB 日志脱敏增强是通过对日志文件中的 SQL

· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1226 12.9.4 静态加密 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 快速分析 实验特性 实验特性 实验特性 实验特性 37 统计信息 5.2 5.1 5.0 4.0 2.3.9 安全 安全 5.2 5.1 5.0 4.0 传输层加密 (TLS) Y Y Y Y 静态加密 (TDE) Y Y Y Y 基于角色的访问控制 (RBAC) Y Y Y Y 证书鉴权 Y Y Y Y caching_sha2_password 认证 Y N N N 与 MySQL 实例所有活动连接会话或新连接会话生效， 其他 TiDB 实例不生效。更改不会被持久化，重启 TiDB 后会失效。 • 作用域为 NONE 的变量为只读变量，通常用于展示 TiDB 服务器启动后不会改变的静态信息。 使用SET 语句可以设置变量的作用范围为全局级别、实例级别或会话级别。 ## 以下两个语句等价地改变一个 Session 变量 SET tidb_distsql_scan_concurrency

· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1183 12.9.4 静态加密从 v4.0.0 版本开始引入 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 统计反馈 实验特性 实验特性 实验特性 实验特性 快速分析 实验特性 实验特性 实验特性 实验特性 2.3.9 安全 安全 5.2 5.1 5.0 4.0 传输层加密 (TLS) Y Y Y Y 静态加密 (TDE) Y Y Y Y 基于角色的访问控制 (RBAC) Y Y Y Y 37 安全 5.2 5.1 5.0 4.0 证书鉴权 Y Y Y Y caching_sha2_password 实例所有活动连接会话或新连接会话生效， 其他 TiDB 实例不生效。更改不会被持久化，重启 TiDB 后会失效。 • 作用域为 NONE 的变量为只读变量，通常用于展示 TiDB 服务器启动后不会改变的静态信息。 使用SET 语句可以设置变量的作用范围为全局级别、实例级别或会话级别。 ## 以下两个语句等价地改变一个 Session 变量 SET tidb_distsql_scan_concurrency

· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 972 8.1.5 静态加密 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 替代，即记录的冲突记录数和单个导入任务允许出现的冲突记录数的上限数保 持一致。 • 从 v6.3.0 开始，分区表默认使用动态裁剪模式，相比静态裁剪模式，动态裁剪模式支持 IndexJoin、Plan Cache 等特性，性能表现更好。在未来版本中，静态裁剪模式将被废弃。 2.2.7 改进提升 • TiDB – 优化扫描大量数据时构造 BatchCop Task 的效率 #55915 #55413 2.3.9 安全 安全 8.4 8.3 8.2 8.1 7.5 7.1 6.5 6.1 5.4 5.3 5.2 5.1 传输层加密 (TLS) Y Y Y Y Y Y Y Y Y Y Y Y 静态加密 (TDE) Y Y Y Y Y Y Y Y Y Y Y Y 基于角色的访问控制 (RBAC) Y Y Y Y Y Y Y Y Y Y Y Y 证书鉴权 Y Y Y Y Y Y Y Y Y Y

· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 2904 14.11.4 静态加密 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · Y Y N N N N N N N 2.3.9 安全 安全 8.1 7.5 7.1 6.5 6.1 5.4 5.3 5.2 5.1 传输层加密 (TLS) Y Y Y Y Y Y Y Y Y 静态加密 (TDE) Y Y Y Y Y Y Y Y Y 基于角色的访问控制 (RBAC) Y Y Y Y Y Y Y Y Y 证书鉴权 Y Y Y Y Y Y Y Y Y caching_sha2_password 当再次开启 ANALYZE 配置持久化功能时，如果之前记录的持久化配置项已经不适用当前的数 据，请手动执行 ANALYZE 语句并指定新的持久化配置项。 分区表的 ANALYZE 配置持久化功能 在静态裁剪模式下 ANALYZE 分区表时，配置持久化遵守： • ANALYZE TABLE 时会持久化表级别的配置和实际被 ANALYZE 的所有分区的配置 • 分区的统计信息会继承使用表级别的持久化配置

· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 1271 12.9.4 静态加密 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 实验特性 实验特性 快速分析 实验特性 实验特性 实验特性 实验特性 实验特性 2.3.9 安全 安全 5.3 5.2 5.1 5.0 4.0 传输层加密 (TLS) Y Y Y Y Y 静态加密 (TDE) Y Y Y Y Y 基于角色的访问控制 (RBAC) Y Y Y Y Y 证书鉴权 Y Y Y Y Y caching_sha2_password 认证 Y Y N N N 实例所有活动连接会话或新连接会话生效， 其他 TiDB 实例不生效。更改不会被持久化，重启 TiDB 后会失效。 • 作用域为 NONE 的变量为只读变量，通常用于展示 TiDB 服务器启动后不会改变的静态信息。 使用SET 语句可以设置变量的作用范围为全局级别、实例级别或会话级别。 ## 以下两个语句等价地改变一个 Session 变量 SET tidb_distsql_scan_concurrency

· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 2726 14.9.4 静态加密 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 5.4 5.3 5.2 5.1 5.0 4.0 传输层加密 (TLS) Y Y Y Y Y Y Y Y Y 65 安全 7.1 6.5 6.1 5.4 5.3 5.2 5.1 5.0 4.0 静态加密 (TDE) Y Y Y Y Y Y Y Y Y 基于角色的访问控制 (RBAC) Y Y Y Y Y Y Y Y Y 证书鉴权 Y Y Y Y Y Y Y Y Y caching_sha2_password 当再次开启 ANALYZE 配置持久化功能时，如果之前记录的持久化配置项已经不适用当前的数 据，请手动执行 ANALYZE 语句并指定新的持久化配置项。 分区表的 ANALYZE 配置持久化功能 在静态裁剪模式下 ANALYZE 分区表时，配置持久化遵守： • ANALYZE TABLE 时会持久化表级别的配置和实际被 ANALYZE 的所有分区的配置 • 分区的统计信息会继承使用表级别的持久化配置

· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 718 8.1.5 静态加密 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 替代，即记录的冲突记录数和单个导入任务允许出现的冲突记录数的上限数保 持一致。 • 从 v6.3.0 开始，分区表默认使用动态裁剪模式，相比静态裁剪模式，动态裁剪模式支持 IndexJoin、Plan Cache 等特性，性能表现更好。在未来版本中，静态裁剪模式将被废弃。 2.2.7 改进提升 • TiDB – 优化扫描大量数据时构造 BatchCop Task 的效率 #55915 #55413 2.3.9 安全 安全 8.4 8.3 8.2 8.1 7.5 7.1 6.5 6.1 5.4 5.3 5.2 5.1 传输层加密 (TLS) Y Y Y Y Y Y Y Y Y Y Y Y 静态加密 (TDE) Y Y Y Y Y Y Y Y Y Y Y Y 基于角色的访问控制 (RBAC) Y Y Y Y Y Y Y Y Y Y Y Y 证书鉴权 Y Y Y Y Y Y Y Y Y Y

· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 2573 14.9.4 静态加密 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 锁定统计信息 E N N N N N N N 2.3.9 安全 安全 6.5 6.1 5.4 5.3 5.2 5.1 5.0 4.0 传输层加密 (TLS) Y Y Y Y Y Y Y Y 静态加密 (TDE) Y Y Y Y Y Y Y Y 基于角色的访问控制 (RBAC) Y Y Y Y Y Y Y Y 证书鉴权 Y Y Y Y Y Y Y Y caching_sha2_password 当再次开启 ANALYZE 配置持久化功能时，如果之前记录的持久化配置项已经不适用当前的数 据，请手动执行 ANALYZE 语句并指定新的持久化配置项。 分区表的 ANALYZE 配置持久化功能 在静态裁剪模式下 ANALYZE 分区表时，配置持久化遵守： • ANALYZE TABLE 时会持久化表级别的配置和实际被 ANALYZE 的所有分区的配置 • 分区的统计信息会继承使用表级别的持久化配置

· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 2849 14.11.4 静态加密 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · Coprocessor Cache panic 的问题 #48212 @you06 – 修复 shuffleExec 意外退出导致 TiDB 崩溃的问题 #48230 @wshwsh12 – 修复静态 CALIBRATE RESOURCE 依赖 Prometheus 数据的问题 #49174 @glorv – 修复在日期中加上数值较大的 Interval 时返回错误结果的问题。修复后，带有无效前缀或字符串 N N N 2.3.9 安全 安全 7.6 7.5 7.1 6.5 6.1 5.4 5.3 5.2 5.1 5.0 4.0 传输层加密 (TLS) Y Y Y Y Y Y Y Y Y Y Y 静态加密 (TDE) Y Y Y Y Y Y Y Y Y Y Y 基于角色的访问控制 (RBAC) Y Y Y Y Y Y Y Y Y Y Y 证书鉴权 Y Y Y Y Y Y Y Y Y Y Y