All Products
Search
Document Center

MaxCompute:Enkripsi penyimpanan

Last Updated:Jun 02, 2026

MaxCompute mengenkripsi data saat tidak aktif (at rest) menggunakan Key Management Service (KMS), melindungi data sensitif seperti informasi identitas pribadi (PII), catatan keuangan, dan catatan kesehatan dari akses yang tidak sah serta membantu Anda memenuhi persyaratan kepatuhan.

Cara kerja

MaxCompute menggunakan kunci yang dikelola oleh KMS untuk mengenkripsi dan mendekripsi data:

  • Enkripsi dan dekripsi beroperasi di tingkat project.

  • KMS menghasilkan, mengelola, dan mengamankan customer master key (CMK).

  • MaxCompute mendukung algoritma enkripsi AES256, AESCTR, dan RC4.

  • MaxCompute mendukung dua jenis kunci: MaxCompute Default Key dan bring-your-own-key (BYOK).

    • MaxCompute Default Key

      • MaxCompute secara otomatis membuat kunci di KMS untuk digunakan sebagai CMK. Anda dapat melihat detail kunci ini di Konsol KMS.

    • Untuk memenuhi kebutuhan bisnis dan keamanan tertentu, Anda dapat menggunakan BYOK untuk mengenkripsi dan mendekripsi data.

      • Untuk menggunakan BYOK, aktifkan KMS secara manual dan panggil CreateKey untuk membuat kunci.

      • Ikuti petunjuk di layar untuk menyelesaikan otorisasi RAM, sehingga MaxCompute dapat membuat project yang menggunakan BYOK Anda.

  • Gunakan Kebijakan Akses RAM kustom untuk menerapkan persyaratan enkripsi pada project baru.

Catatan penggunaan

  • Untuk menggunakan BYOK, aktifkan KMS di Wilayah yang sama dengan project MaxCompute Anda.

  • Untuk mengakses data MaxCompute dari tabel eksternal Hologres:

    • Hologres harus versi V1.1 atau lebih baru dengan izin KMS yang telah diberikan. Untuk Wilayah di Tiongkok daratan, BYOK hanya mendukung KMS di Wilayah China (Shanghai). Untuk Wilayah China (Hong Kong) dan Wilayah di luar Tiongkok daratan, didukung KMS di Wilayah yang sesuai. Untuk informasi selengkapnya, lihat Kueri data MaxCompute terenkripsi.

    • Mulai dari Hologres V3.2, Anda dapat menggunakan jalur akses Common Table untuk mengkueri data MaxCompute terenkripsi. Mode ini tidak memerlukan konfigurasi kebijakan tambahan dan mendukung project yang dienkripsi baik dengan Default Key maupun kunci KMS. Untuk informasi selengkapnya, lihat Common Table.

  • Tindakan terhadap BYOK Anda di KMS, seperti menonaktifkan atau menghapus kunci, akan memengaruhi enkripsi dan dekripsi MaxCompute. Karena caching layanan, perubahan di KMS berlaku dalam waktu 24 jam.

  • Anda tidak dapat mengubah pengaturan enkripsi penyimpanan setelah project dibuat, termasuk menonaktifkan enkripsi atau mengganti algoritma.

  • Mengaktifkan enkripsi penyimpanan untuk project yang sudah ada tidak secara otomatis mengenkripsi data yang sudah tersimpan atau memengaruhi operasi baca/tulis. Untuk mengenkripsi data yang sudah ada, baca dan tulis ulang data tersebut secara manual.

Penagihan

Enkripsi penyimpanan gratis. Namun, pemanggilan API KMS selama proses enkripsi dan dekripsi dikenai biaya oleh KMS. Penagihan KMS.

Aktifkan enkripsi penyimpanan untuk project baru

Dengan enkripsi penyimpanan diaktifkan, MaxCompute secara otomatis mengenkripsi dan mendekripsi data untuk semua operasi baca dan tulis dalam project tersebut.

Metode 1: Aktifkan di Konsol MaxCompute

  1. Jika KMS sudah diaktifkan di Wilayah target Anda, Anda dapat melewati langkah ini.

    Pada halaman aktivasi Key Management Service, klik Activate Now.

  2. Login ke Konsol MaxCompute dan pilih Wilayah di pojok kiri atas.

  3. Di panel navigasi sebelah kiri, pilih Manage Configurations > Projects.

  4. Pada tab Internal Project, klik Create Project.

  5. Pada kotak dialog Create Project, konfigurasikan pengaturan dan klik OK.

    • Atur Storage Encryption menjadi Yes, lalu pilih Key dan Algorithm yang sesuai.

    • Key: Jenis kunci. Opsi: MaxCompute Default Key atau BYOK.

      • Untuk menggunakan kunci default, pilih MaxCompute Default Key.

      • Untuk menggunakan BYOK, pilih CMK.

    • Algorithm: Algoritma enkripsi. Didukung: AES256, AESCTR, dan RC4.

Metode 2: Aktifkan di DataWorks

  1. Jika KMS sudah diaktifkan di Wilayah target Anda, Anda dapat melewati langkah ini.

    Pada halaman aktivasi Key Management Service, klik Activate Now.

  2. Login ke Konsol DataWorks, lalu pilih Wilayah di pojok kiri atas.

  3. Di panel navigasi sebelah kiri, pilih Workspace.

  4. Pada halaman Workspaces, klik Create Workspace.

    Buat workspace.

  5. Asosiasikan resource komputasi MaxCompute.

    1. Setelah workspace dibuat, buka halaman Workspaces, temukan workspace target, lalu klik Manage pada kolom Actions.

    2. Pada halaman Workspace Details, klik Computing Resource di panel navigasi sebelah kiri.

    3. Pada halaman Computing Resource, klik Associate Computing Resources, lalu pilih MaxCompute.

    4. Isi bagian Basic Information pada formulir Associate MaxCompute Computing Resource.

      • Untuk MaxCompute Project, klik Create.

      • Atur Storage Encryption menjadi Yes, lalu pilih Key dan Algorithm yang sesuai.

      • Key: Jenis kunci. Opsi: MaxCompute Default Key atau BYOK.

        • Untuk menggunakan kunci default, pilih MaxCompute Default Key.

        • Untuk menggunakan BYOK, pilih CMK.

      • Algorithm: Algoritma enkripsi. Didukung: AES256, AESCTR, dan RC4.

Aktifkan enkripsi penyimpanan untuk project yang sudah ada

Anda hanya dapat mengaktifkan enkripsi penyimpanan untuk project yang belum dienkripsi. Setelah diaktifkan, Anda tidak dapat menonaktifkan enkripsi atau mengganti algoritma.

  1. Konfigurasikan izin

    • Mengaktifkan enkripsi penyimpanan memerlukan modifikasi Basic Properties project, yang membutuhkan autentikasi RAM dan peran Super_Administrator.

    • Mengonfigurasi parameter project lainnya (izin, daftar putih alamat IP) memerlukan peran administratif seperti Super_Administrator, Admin, atau peran kustom.

    • Izin manajemen project. Gunakan RAM untuk kontrol akses.

  2. Login ke Konsol MaxCompute dan pilih Wilayah di pojok kiri atas.

  3. Di panel navigasi sebelah kiri, pilih Manage Configurations > Projects.

  4. Pada halaman Projects, klik Manage pada kolom Actions untuk project target.

  5. Pada halaman Project Settings, klik tab Parameter Configuration.

  6. Pada bagian Basic Properties, klik Edit.

    • Atur Storage Encryption menjadi Yes, lalu pilih Key dan Algorithm yang sesuai.

    • Key: Jenis kunci. Opsi: MaxCompute Default Key atau BYOK.

      • Untuk menggunakan kunci default, pilih MaxCompute Default Key.

      • Untuk menggunakan BYOK, pilih CMK.

    • Algorithm: Algoritma enkripsi. Didukung: AES256, AESCTR, dan RC4.

  7. Klik Submit untuk mengaktifkan enkripsi penyimpanan pada project yang sudah ada.

Referensi

  • Gunakan otorisasi berbasis ACL dan berbasis peran di tingkat project dan tabel untuk membatasi akses data. Kontrol akses berbasis ACL.

  • Untuk menyembunyikan data sensitif mentah dari pengguna kueri yang sah, terapkan penyembunyian data dinamis pada hasil kueri.

  • Untuk mengenkripsi data tertentu dalam tabel, gunakan fungsi Enkripsi MaxCompute.