Enkripsi kolom - Database Autonomy Service

Database Autonomy Service (DAS) menyediakan enkripsi tingkat kolom untuk melindungi data sensitif di database Anda, seperti ApsaraDB RDS untuk MySQL, ApsaraDB RDS untuk PostgreSQL, PolarDB untuk MySQL, dan PolarDB untuk PostgreSQL. Fitur ini memungkinkan Anda mengenkripsi kolom data tertentu, dan pengguna yang berwenang dapat mendekripsi serta mengakses data teks biasa melalui driver klien khusus.

Wilayah dan database yang didukung

Database	Wilayah
RDS for MySQL PolarDB for MySQL RDS for PostgreSQL PolarDB-X 2.0 PolarDB for PostgreSQL	Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Qingdao), Tiongkok (Beijing), Tiongkok (Zhangjiakou), Tiongkok (Hohhot), Tiongkok (Shenzhen), Tiongkok (Chengdu), dan Tiongkok (Hong Kong)
PolarDB for PostgreSQL (Compatible with Oracle)	Tiongkok (Hangzhou) dan Malaysia (Kuala Lumpur)

Prasyarat

Otorisasi instans untuk deteksi data sensitif dan enkripsi kolom pada halaman Instances.
Beli DAS Security Center dan pastikan Anda memiliki kuota yang cukup untuk enkripsi kolom.
Pastikan wilayah instans Anda mendukung fitur enkripsi kolom. Untuk informasi selengkapnya, lihat Seri produk dan fitur yang didukung.
Selesaikan tugas deteksi data sensitif. Untuk informasi selengkapnya, lihat Mengelola deteksi data sensitif.

Informasi penagihan

DAS menyediakan kuota gratis untuk mengenkripsi satu kolom. Untuk mengenkripsi lebih banyak kolom, aktifkan layanan Column Encryption dan beli Kuota Enkripsi Kolom yang mencukupi. Layanan ini ditagih berdasarkan langganan. Untuk informasi selengkapnya, lihat Penagihan.
Jika Anda mengatur Encryption Method ke KMS Key dalam konfigurasi enkripsi kolom, Key Management Service (KMS) akan membebankan biaya untuk kunci yang dikelola. Untuk informasi selengkapnya, lihat Penagihan Produk.

Batasan enkripsi

Jenis database yang didukung	Versi yang didukung	Algoritma enkripsi yang didukung	Metode enkripsi yang didukung	Izin yang didukung
RDS for MySQL	Versi utama adalah MySQL 5.7 atau MySQL 8.0, dan versi mesin minor adalah 20240731 atau lebih baru.	AES_128_GCM. AES_256_GCM: Didukung hanya jika versi mesin minor adalah 20241231 atau lebih baru. SM4_128_GCM: Didukung hanya jika versi mesin minor adalah 20241231 atau lebih baru. Catatan Hanya AES_128_GCM yang didukung di wilayah luar daratan Tiongkok.	Kunci lokal. Kunci KMS: Didukung hanya jika versi mesin minor adalah 20241231 atau lebih baru dan kelas penyimpanan adalah disk.	Izin ciphertext (tanpa izin dekripsi): Hanya didukung untuk kunci lokal. Ini adalah izin default. Izin ciphertext (dekripsi JDBC): Izin default saat menggunakan kunci KMS. Izin teks biasa.
RDS for PostgreSQL	Versi utama adalah PostgreSQL 16, dan versi mesin minor harus 20241230 atau lebih baru.	AES_256_GCM.	Kunci lokal.	Izin ciphertext (dekripsi JDBC) (Izin Default). Izin teks biasa.
PolarDB for MySQL	Versi utama adalah MySQL 5.7 atau MySQL 8.0, dan versi proksi database harus 2.8.36 atau lebih baru. Penting Jika Anda menetapkan kebijakan enkripsi kolom untuk database PolarDB untuk MySQL, Anda harus menggunakan titik akhir proxy database (mode pembagian baca/tulis) untuk terhubung ke database. Jika Anda menggunakan titik akhir utama, kebijakan enkripsi kolom tidak berlaku. Untuk informasi selengkapnya, lihat Mengonfigurasi proksi database dan Mengelola titik akhir.	AES_128_GCM.	Kunci lokal.
PolarDB for PostgreSQL	Versi utama adalah PostgreSQL 14, dan versi database adalah 2.0.14.15.31.0 atau lebih baru.	AES_256_GCM.	Kunci lokal.
PolarDB for PostgreSQL (Compatible with Oracle)	Hanya kompatibilitas sintaks Oracle 2.0 yang didukung. Versi utama adalah PostgreSQL 14, dan versi database adalah 2.0.14.15.31.0 atau lebih baru.	AES-256-GCM.	Kunci lokal.
PolarDB-X 2.0	Versi database adalah polardb-2.5.0_5.4.20-20250714_xcluster8.4.20-20250703 atau lebih baru.	AES-128-GCM. SM4-128-GCM.	Kunci lokal.

Prosedur

Masuk ke Konsol DAS.
Di panel navigasi sebelah kiri, klik Security Center > Column Encryption.
Klik One-click Encryption di kolom Tindakan instans target dan konfigurasikan kebijakan enkripsi.
Catatan
Untuk instans yang sudah memiliki kebijakan enkripsi, klik Edit di kolom Tindakan untuk mengubah kebijakan tersebut.
Di panel Encryption Configuration, pilih Asset Type, Instance Name, Encryption Algorithm, Encryption Method, dan Plaintext Permission Accounts. Kemudian, pilih Database, Table, dan Column yang dituju, lalu klik OK.
Di daftar instans, klik ikon di sebelah kiri instans target untuk memperluas informasi database, tabel, dan kolom.
Di kolom Tindakan daftar yang telah diperluas, klik Disable Encryption atau Enable Encryption, lalu klik OK di kotak dialog yang muncul.

Referensi

Integrasikan dengan EncJDBC: Gunakan driver EncJDBC untuk mengakses teks biasa dari kolom terenkripsi dari aplikasi Java.
Integrasikan dengan driver Go: Gunakan driver alibabacloud-encdb-mysql-go-client untuk mengakses teks biasa dari kolom terenkripsi dari aplikasi Go.