Konfigurasikan aturan perlindungan data untuk database rahasia RDS for MySQL di konsol - ApsaraDB RDS

Topik ini menjelaskan cara mengonfigurasi aturan enkripsi kolom dan izin peran untuk instans ApsaraDB RDS for MySQL di Konsol ApsaraDB RDS. Enkripsi kolom merupakan edisi dasar fitur kerahasiaan penuh.

Prasyarat

Instans RDS menjalankan MySQL 5.7 atau 8.0 dengan versi mesin minor 20240731 atau yang lebih baru.
Catatan
Untuk informasi lebih lanjut, lihat Perbarui versi mesin minor.
Anda telah mengaktifkan fitur kerahasiaan penuh.
Gunakan akun istimewa untuk mengonfigurasi aturan perlindungan data.

Deskripsi fitur

Konfigurasi enkripsi kolom terdiri dari dua komponen utama:

Aturan enkripsi kolom: Tentukan kolom yang akan dienkripsi dengan menentukan database, tabel, dan bidang.
Pengaturan izin peran: Kontrol akun database mana yang dapat mengakses data teks biasa atau data sandi.

Sebelum mengonfigurasi aturan enkripsi kolom, konfigurasikan izin melihat teks biasa untuk akun yang diperlukan.

Jika tidak ada izin peran tertentu yang ditetapkan ke akun database, semua akun database secara default memiliki peran Administrator lainnya (melihat sandi).
Jika Anda menetapkan aturan enkripsi kolom tanpa mengonfigurasi izin peran, aplikasi Anda mungkin mengalami teks kacau atau kesalahan akses.

Catatan penggunaan

Setelah mengonfigurasi dan mengaktifkan aturan perlindungan data, aturan tersebut berlaku untuk semua database pada instans RDS, sehingga tidak perlu mengonfigurasi ulang aturan tersebut.
Disarankan menggunakan akun database terpisah untuk mengelola aturan perlindungan data dan aplikasi daring. Jangan berikan izin manajemen kepada aplikasi daring kecuali diperlukan.
Berhati-hatilah saat memberikan izin baca dan tulis pada tabel mysql.encdb_sensitive_rules dan mysql.encdb_auth_users. Modifikasi tabel-tabel tersebut dapat memungkinkan penyerang mengabaikan perlindungan kerahasiaan penuh.

Prosedur

Buka halaman Instans RDS, pilih Wilayah di bilah navigasi atas, lalu klik ID instans target.
Di panel navigasi kiri, klik Data Security.
Klik tab Column encryption untuk mengonfigurasi izin peran dan aturan enkripsi kolom.

Konfigurasikan atau modifikasi izin peran

Klik Role permission settings, temukan peran yang ingin Anda kelola, lalu klik Configure Account atau Modify Account di kolom Actions.
Catatan
Berikut adalah deskripsi izin peran:
- Super administrator: Dapat melihat konten teks biasa dari semua data sensitif.
- Administrator O&M: Memiliki izin untuk melihat data sensitif dalam sandi. Peran ini dapat digunakan untuk membuat kunci khusus yang didedikasikan untuk mengimplementasikan enkripsi dan dekripsi data waktu nyata.
- Administrator lainnya: Hanya dapat melihat sandi dan tidak dapat mendekripsi data.

Di halaman Configure Account, konfigurasikan parameter berikut dan klik OK.

Izin pengguna dapat disesuaikan sesuai kebutuhan. Misalnya, Anda dapat menetapkan peran super administrator kepada beberapa pengguna, seperti Pengguna A dan kemudian Pengguna B, dalam operasi terpisah. Untuk mencabut izin pengguna, ubah peran mereka menjadi Administrator lainnya.

Parameter	Diperlukan	Deskripsi
Expiration Time	Ya	Parameter ini hanya tersedia untuk peran Super Administrator. Saat waktu kedaluwarsa tiba, izin super administrator secara otomatis diatur ulang ke izin administrator lainnya yang tidak memiliki izin untuk melihat data teks biasa.
Linked Account	Tidak	Pilih satu atau lebih akun database yang ada dari daftar drop-down.
Custom Account	Tidak	Mirip dengan akun terhubung. Masukkan manual satu atau lebih nama akun database. Pisahkan beberapa nama akun dengan koma (,).

Tambahkan atau modifikasi aturan enkripsi kolom

Klik List encryption rules. Klik Newly added atau temukan aturan yang ingin Anda kelola, lalu klik Modify di kolom operasi.

Di kotak dialog yang muncul, konfigurasikan parameter berikut dan klik OK.

Parameter	Diperlukan	Deskripsi
Rule Name	Ya	Nama aturan enkripsi. Nama tersebut dapat memiliki panjang hingga 30 karakter. Anda tidak dapat mengubah nama setelah pembuatan. Untuk mengubah nama, hapus aturan asli dan buat yang baru.
Database Name	Tidak	Nama database tempat aturan berlaku. Nilai valid: Semua database: Aturan berlaku untuk semua database dalam instans. Termasuk: Aturan hanya berlaku untuk database yang ditentukan. Masukkan satu atau lebih nama database, dipisahkan dengan koma (,).
Table Name	Tidak	Nama tabel tempat aturan berlaku. Nilai valid: Semua tabel data: Aturan berlaku untuk semua tabel dalam cakupan saat ini. Termasuk: Aturan hanya berlaku untuk tabel yang ditentukan. Masukkan satu atau lebih nama tabel, dipisahkan dengan koma (,).
Field Name	Tidak	Nama bidang tempat aturan berlaku. Nilai valid: Semua kolom data: Aturan berlaku untuk semua bidang dalam cakupan saat ini. Termasuk: Aturan hanya berlaku untuk bidang yang ditentukan. Masukkan satu atau lebih nama bidang, dipisahkan dengan koma (,).

Hapus aturan enkripsi kolom

Di tab Column encryption, klik List encryption rules, temukan aturan yang ingin Anda hapus, lalu klik Delete di kolom operasi.