cara mengaktifkan enkripsi data transparan (beta) -

Lindorm mendukung Transparent Data Encryption (TDE). Fitur ini menggunakan hierarki kunci untuk mengenkripsi file data sehingga seluruh data yang disimpan dalam sistem file berada dalam bentuk ciphertext. Anda dapat mengaktifkan TDE melalui Konsol guna mengenkripsi data instans dan meningkatkan keamanan data. Topik ini menjelaskan cara mengaktifkan TDE.

Prasyarat

Instans Lindorm dideploy di single zone. Untuk informasi selengkapnya, lihat Buat instans.
Key Management Service (KMS) telah diaktifkan. Untuk informasi selengkapnya, lihat Aktifkan Key Management Service.
Anda telah memberikan izin kepada Lindorm untuk mengakses KMS melalui peran terkait layanan. Untuk informasi selengkapnya, lihat Peran terkait layanan Lindorm.

Informasi latar belakang

Fitur TDE pada Lindorm mendukung algoritma AES dan SMS4. Kunci yang digunakan untuk TDE dihasilkan dan dikelola oleh Key Management Service (KMS). KMS menerapkan enkripsi amplop, di mana kunci master mengenkripsi kunci data, lalu kunci data tersebut mengenkripsi data Anda. Saat dekripsi, ciphertext kunci data dibaca terlebih dahulu. Kunci master kemudian mendekripsi ciphertext kunci data untuk memperoleh kunci data dalam bentuk teks biasa, yang selanjutnya digunakan untuk mendekripsi data. Kunci master yang disediakan oleh KMS dibuat melalui panggilan API. Anda juga dapat mengenkripsi kunci master dengan password guna meningkatkan keamanannya.

Catatan

Mengaktifkan TDE akan memicu restart instans satu kali dan menyebabkan pemutusan sementara. Kami menyarankan agar Anda melakukan operasi ini pada jam sepi serta memastikan aplikasi Anda memiliki mekanisme penyambungan ulang.
Restart instans dan pemutusan sementara tidak menyebabkan kehilangan data.
Fitur TDE tidak dapat dinonaktifkan setelah diaktifkan.

Prosedur

Masuk ke konsol Lindorm.
Klik ID instans target untuk membuka halaman Instances.
Di panel navigasi sebelah kiri, pilih Wide Table Engine > Data Security. Halaman Transparent Data Encryption (TDE) ditampilkan secara default.
Nyalakan sakelar Current Status:.
Pada kotak dialog Enable TDE, pilih Use Automatically Generated Key atau Use Custom Key.
- Jika Anda memilih Use Automatically Generated Key, klik OK untuk mengaktifkan TDE.
- Jika Anda memilih Use Custom Key, pilih kunci yang dihasilkan KMS dari daftar Set Key:, lalu klik OK untuk mengaktifkan TDE.
  Catatan
  Untuk menggunakan kunci impor Anda sendiri, klik Manage Key. Di Konsol KMS, buat kunci dan impor bahan kunci Anda. Untuk informasi selengkapnya, lihat Buat kunci.

Apa yang harus dilakukan selanjutnya

Setelah mengaktifkan TDE, Anda harus terhubung ke instans menggunakan Lindorm-cli dan melakukan operasi Data Definition Language (DDL) pada tabel Lindorm untuk mengenkripsi data. Untuk informasi selengkapnya tentang cara menghubungkan ke instans, lihat Hubungkan ke dan gunakan LindormTable menggunakan Lindorm-cli. Operasi yang diperlukan adalah sebagai berikut:

Untuk tabel baru, tambahkan pernyataan WITH (FILEVERSION = 5, ENCRYPTION = AES) saat membuat tabel.

CREATE table testsql (p1 varchar, p2 varchar, p3 bigint, c1 varchar, c2 double, constraint primary key (p1, p2, p3 desc)) WITH (FILEVERSION = 5, ENCRYPTION = AES);

Untuk tabel yang sudah ada, gunakan kata kunci ALTER dan pernyataan WITH (FILEVERSION = 5, ENCRYPTION = SMS4).
```
ALTER table testsql WITH (FILEVERSION = 5, ENCRYPTION = SMS4) ;
```

Catatan

FILEVERSION menentukan versi file. Atur parameter ini ke 5 untuk menggunakan fitur enkripsi.
ENCRYPTION menentukan algoritma enkripsi. Nilai yang valid: AES dan SMS4.
Anda dapat menggunakan pernyataan ENCRYPTION=NONE untuk mendekripsi data.
Anda dapat mengubah algoritma enkripsi, misalnya dari AES ke SMS4. Namun, hal ini tidak disarankan. Langkah-langkahnya adalah sebagai berikut:
1. Gunakan pernyataan ENCRYPTION=NONE untuk mendekripsi data tabel.
2. Lakukan operasi major_compact pada tabel dan tunggu hingga selesai.
3. Gunakan pernyataan ENCRYPTION=SMS4 untuk mengatur algoritma enkripsi data ke SMS4.