Jika proyek MaxCompute berisi informasi sensitif, seperti informasi identitas pribadi, catatan keuangan, atau catatan kesehatan, Anda dapat mengaktifkan enkripsi penyimpanan data untuk melindungi data tersebut dari akses yang tidak sah. MaxCompute menggunakan Key Management Service (KMS) untuk mengenkripsi data yang disimpan. Fitur ini menyediakan perlindungan data-at-rest guna memenuhi persyaratan regulasi perusahaan dan kepatuhan keamanan.
Mekanisme enkripsi penyimpanan
MaxCompute menggunakan kunci yang dihosting di KMS untuk mengenkripsi atau mendekripsi data. Mekanisme enkripsi penyimpanan data adalah sebagai berikut:
MaxCompute menggunakan KMS untuk mengenkripsi atau mendekripsi data berdasarkan per proyek.
KMS menghasilkan dan mengelola customer master keys (CMKs) serta menjamin keamanan kunci tersebut.
MaxCompute mendukung algoritma enkripsi AES256, AESCTR, dan RC4.
MaxCompute mendukung enkripsi dan dekripsi data menggunakan kunci default atau Bring-Your-Own-Key (BYOK).
Kunci default (MaxCompute Default Key)
MaxCompute secara otomatis membuat kunci di KMS untuk digunakan sebagai CMK. Anda dapat melihat detail kunci ini di Konsol KMS.
Untuk memenuhi berbagai kebutuhan bisnis dan keamanan, MaxCompute juga mendukung enkripsi dan dekripsi data menggunakan BYOK.
Untuk menggunakan BYOK dalam mengenkripsi atau mendekripsi data, Anda harus mengaktifkan KMS secara manual dan membuat kunci. Untuk informasi selengkapnya, lihat CreateKey.
Ikuti petunjuk di layar untuk menyelesaikan otorisasi Resource Access Management (RAM). Hal ini memberikan izin yang diperlukan kepada MaxCompute untuk membuat proyek yang menggunakan BYOK.
Anda dapat menggunakan kebijakan RAM kustom untuk mengontrol apakah proyek baru dienkripsi. Untuk informasi lebih lanjut mengenai isi kebijakan, lihat Kebijakan akses.
Batasan
Jika Anda menggunakan BYOK untuk mengenkripsi atau mendekripsi data, Anda harus mengaktifkan KMS di wilayah tempat proyek MaxCompute berada.
Saat tabel eksternal Hologres mengakses MaxCompute, diperlukan Hologres V1.1 atau versi yang lebih baru. Anda juga harus memberikan izin KMS kepada Hologres. BYOK hanya didukung di wilayah China (Shanghai). Untuk informasi selengkapnya, lihat Kueri data MaxCompute terenkripsi.
Operasi pada BYOK Anda di KMS, seperti menonaktifkan atau menghapus kunci, akan memengaruhi enkripsi dan dekripsi data di MaxCompute. Karena MaxCompute menggunakan caching, perubahan yang dilakukan di KMS dapat memerlukan waktu hingga 24 jam untuk berlaku.
Anda tidak dapat mengubah pengaturan enkripsi penyimpanan untuk proyek yang sudah ada. Misalnya, Anda tidak dapat menonaktifkan enkripsi penyimpanan atau mengganti algoritma enkripsi.
Jika Anda mengaktifkan enkripsi penyimpanan untuk proyek yang sudah ada, data historis dalam proyek tersebut tidak akan dienkripsi secara otomatis. Hal ini tidak memengaruhi operasi baca dan tulis normal. Untuk mengenkripsi data historis, Anda harus membaca data tersebut secara manual lalu menulisnya kembali ke proyek.
Penagihan
Fitur enkripsi penyimpanan data MaxCompute tidak dikenai biaya. Namun, fitur ini berinteraksi dengan API KMS, dan KMS mengenakan biaya atas layanannya. Untuk informasi lebih lanjut mengenai penagihan, lihat Penagihan KMS.
Aktifkan enkripsi penyimpanan untuk proyek baru
Setelah Anda mengaktifkan enkripsi penyimpanan data, MaxCompute secara otomatis menangani enkripsi dan dekripsi selama operasi baca dan tulis data.
Metode 1: Aktifkan enkripsi penyimpanan data di Konsol MaxCompute
Jika KMS sudah diaktifkan di wilayah Anda, lewati langkah ini.
Pada atau halaman aktivasi Key Management Service (KMS), klik Activate Now.
Masuk ke Konsol MaxCompute dan pilih wilayah di pojok kiri atas.
Di panel navigasi sebelah kiri, pilih .
Pada tab Internal Project, klik Create Project.
Pada kotak dialog Create Project, konfigurasikan parameter proyek lalu klik OK.
Atur Storage Encryption ke Yes, lalu pilih Key dan Algorithm yang sesuai.
Key: Jenis kunci yang digunakan oleh proyek, termasuk kunci default yang dibuat oleh MaxCompute (MaxCompute Default Key) dan Bring-Your-Own-Key (BYOK).
Untuk menggunakan kunci default, pilih MaxCompute Default Key.
Untuk menggunakan BYOK, pilih CMK.
Algorithm: Algoritma enkripsi untuk kunci tersebut. Algoritma yang didukung adalah AES256, AESCTR, dan RC4.
Metode 2: Aktifkan enkripsi penyimpanan data di DataWorks
Jika KMS sudah diaktifkan di wilayah Anda, lewati langkah ini.
Pada halaman aktivasi Key Management Service (KMS), klik Activate Now.
Masuk ke Konsol DataWorks dan pilih wilayah di pojok kiri atas.
Di panel navigasi sebelah kiri, klik Workspace.
Pada halaman Workspaces, klik Create Workspace.
Untuk informasi selengkapnya, lihat Buat ruang kerja.
Asosiasikan resource komputasi MaxCompute.
Setelah ruang kerja dibuat, pada halaman Workspaces, temukan ruang kerja target lalu klik Manage di kolom Actions.
Pada halaman Workspace Details, klik Computing Resource di panel navigasi sebelah kiri.
Pada halaman Computing Resource, klik Associate Compute Resource, lalu pilih MaxCompute.
Konfigurasikan Associate MaxCompute Compute Resource Basic Information.
Untuk MaxCompute Project, klik Create.
Atur Storage Encryption ke Yes, lalu pilih Key dan Algorithm yang sesuai.
Key: Jenis kunci yang digunakan oleh proyek, termasuk kunci default yang dibuat oleh MaxCompute (MaxCompute Default Key) dan Bring-Your-Own-Key (BYOK).
Untuk menggunakan kunci default, pilih MaxCompute Default Key.
Untuk menggunakan BYOK, pilih CMK.
Algorithm: Algoritma enkripsi untuk kunci tersebut. Algoritma yang didukung adalah AES256, AESCTR, dan RC4.
Aktifkan enkripsi penyimpanan untuk proyek yang sudah ada
Anda hanya dapat mengaktifkan enkripsi penyimpanan untuk proyek yang belum memiliki fitur tersebut. Jika suatu proyek telah diaktifkan enkripsi penyimpanannya, Anda tidak dapat menonaktifkannya atau mengubah algoritma enkripsi.
Konfigurasikan izin
Untuk mengaktifkan enkripsi penyimpanan, Anda harus mengubah parameter di bagian Basic Properties proyek MaxCompute. Operasi ini memerlukan autentikasi RAM, dan Anda harus memiliki role Super_Administrator untuk proyek tersebut.
Untuk mengonfigurasi properti izin dan daftar putih alamat IP untuk proyek MaxCompute, Anda harus memiliki izin manajemen proyek. Ini mencakup role seperti Super_Administrator, Admin, atau role administrator kustom.
Untuk informasi selengkapnya, lihat Izin manajemen proyek dan Gunakan RAM untuk kontrol akses.
Masuk ke Konsol MaxCompute dan pilih wilayah di pojok kiri atas.
Di panel navigasi sebelah kiri, pilih .
Pada halaman Projects, temukan proyek target lalu klik Manage di kolom Actions-nya.
Pada halaman Project Settings, klik tab Parameter Configuration.
Di bagian Basic Properties, klik Edit.
Atur Storage Encryption ke Yes, lalu pilih Key dan Algorithm yang sesuai.
Key: Jenis kunci yang digunakan oleh proyek, termasuk kunci default yang dibuat oleh MaxCompute (MaxCompute Default Key) dan Bring-Your-Own-Key (BYOK).
Untuk menggunakan kunci default, pilih MaxCompute Default Key.
Untuk menggunakan BYOK, pilih CMK.
Algorithm: Algoritma enkripsi untuk kunci tersebut. Algoritma yang didukung adalah AES256, AESCTR, dan RC4.
Klik Submit untuk mengaktifkan enkripsi penyimpanan pada proyek yang sudah ada.
Dokumen terkait
Anda juga dapat menggunakan access control lists (ACLs) dan kontrol akses berbasis peran untuk memberikan izin di tingkat proyek dan tabel. Hal ini memastikan bahwa hanya pengguna yang berwenang yang dapat mengakses data. Untuk informasi selengkapnya, lihat Kontrol akses berbasis ACL.
Jika pengguna proyek memiliki izin untuk mengkueri data sensitif tetapi Anda tidak ingin mereka melihat informasi sensitif secara lengkap, Anda dapat menyamarkan data tersebut secara dinamis dalam hasil kueri. Untuk informasi selengkapnya, lihat Penyamaran data dinamis.
Untuk mengenkripsi hanya data tertentu dalam sebuah tabel, Anda dapat menggunakan fungsi enkripsi yang disediakan oleh MaxCompute. Untuk informasi selengkapnya, lihat Fungsi enkripsi.