All Products
Search

This Product

    ApsaraDB for MongoDB:Aktifkan Transparent Data Encryption (TDE)

    Document Center

    ApsaraDB for MongoDB:Aktifkan Transparent Data Encryption (TDE)

    Last Updated:Mar 25, 2026

    Transparent Data Encryption (TDE) mengenkripsi data saat ditulis ke storage dan mendekripsinya saat dibaca dari storage. TDE tidak menambah ukuran file data dan tidak memerlukan perubahan pada aplikasi Anda. Untuk meningkatkan keamanan data, aktifkan TDE untuk instans Anda di Konsol ApsaraDB for MongoDB.

    Prasyarat

    • Instans merupakan instans set replika atau instans kluster sharded.

    • Mesin penyimpanan instans adalah WiredTiger.

    • Jika instans menggunakan SSD lokal, versi database-nya harus 4.0 atau 4.2.

    • Jika instans menggunakan cloud disk, versi database-nya harus 4.4 atau 5.0. Jika versi database lebih lama, Anda dapat melakukan upgrade versi database utama.

      Catatan

      Sebelum mengaktifkan TDE, buat instans pay-as-you-go yang kompatibel untuk menguji kompatibilitas aplikasi. Anda dapat melepas instans tersebut setelah pengujian selesai.

    • Anda telah mengaktifkan KMS.

    Jika instans Anda tidak memenuhi persyaratan arsitektur atau mesin penyimpanan, Anda dapat mengubah konfigurasi instans.

    Dampak

    • Mengaktifkan TDE akan me-restart instans, yang menyebabkan gangguan koneksi sementara. Lakukan operasi ini pada jam sepi dan pastikan aplikasi Anda memiliki mekanisme reconnection.

    • Setelah Anda mengaktifkan TDE, utilisasi CPU instans akan meningkat.

    • Untuk memulihkan koleksi terenkripsi ke database yang dikelola sendiri, Anda harus menggunakan cadangan logis, bukan cadangan fisik. Untuk informasi selengkapnya, lihat Memulihkan data ke database yang dikelola sendiri dengan menggunakan cadangan logis.

    Pertimbangan

    • Setelah diaktifkan, TDE tidak dapat dinonaktifkan.

    • Instans yang telah diaktifkan TDE dan kemudian dilepas tidak dapat dipulihkan dari Recycle Bin.

    • TDE diaktifkan pada tingkat instans dan hanya mendukung enkripsi tingkat koleksi. Untuk melakukan enkripsi tingkat bidang, lihat Client-Side Field Level Encryption. Fitur ini hanya tersedia untuk instans MongoDB 4.2.

      Catatan

      Jika Anda memiliki kebutuhan bisnis tertentu, Anda dapat menentukan bahwa suatu koleksi tidak dienkripsi saat membuatnya. Untuk informasi selengkapnya, lihat Mengecualikan koleksi dari enkripsi.

    • Setelah Anda mengaktifkan TDE, hanya koleksi yang baru dibuat yang dienkripsi. Koleksi yang sudah ada tetap tidak dienkripsi.

    • Key Management Service (KMS) menghasilkan dan mengelola kunci yang digunakan oleh TDE. ApsaraDB for MongoDB tidak menyediakan kunci atau Sertifikat yang diperlukan untuk enkripsi. Untuk informasi selengkapnya tentang KMS, lihat Apa itu Key Management Service?

      Catatan

      Saat ini, hanya kunci default KMS yang didukung.

    • Rotasi kunci tidak didukung. Untuk mengganti kunci, Anda harus memigrasikan data ke instans baru menggunakan Data Transmission Service (DTS). Untuk informasi selengkapnya tentang migrasi data, lihat Migrasikan data antar instans ApsaraDB for MongoDB.

    Prosedur

    1. Buka halaman Replica Set Instances atau Sharded Cluster Instances, pilih Wilayah dan kelompok sumber daya di bilah navigasi atas, lalu klik ID instans target.

    2. Di panel navigasi kiri, klik Data Security > TDE.

    3. Aktifkan sakelar di samping TDE Status:.

    4. Pada kotak dialog Enable TDE, pilih metode pembuatan kunci.

      • Use Automatically Generated Key: Gunakan kunci yang dihasilkan sistem.

      • Use Custom Key: Pilih kunci dari daftar drop-down. Jika kunci yang ingin Anda gunakan tidak tercantum, buat kunci tersebut terlebih dahulu lalu pilih. Untuk informasi selengkapnya tentang cara membuat kunci, lihat Create a key.

        Catatan

        Untuk kunci kustom, hanya kunci default KMS yang didukung saat ini.

    5. Klik OK.

      Status instans berubah menjadi Updating TDE. Operasi selesai ketika status instans kembali menjadi Running.

    Mengecualikan koleksi dari enkripsi

    Setelah Anda mengaktifkan TDE, semua koleksi baru dienkripsi secara default. Namun, Anda dapat mengecualikan koleksi tertentu dari enkripsi saat membuatnya.

    1. Hubungkan ke instans database dengan mongo shell. Untuk informasi selengkapnya, lihat Connect to a replica set instance atau Connect to a sharded cluster instance.

    2. Jalankan perintah berikut untuk membuat koleksi tanpa enkripsi:

      • Sintaks:

        db.createCollection("<collection_name>",{ storageEngine: { wiredTiger: { configString: "encryption=(name=none)" } } })
        Catatan

        Dalam perintah tersebut, collection_name adalah nama koleksi.

      • Contoh:

        db.createCollection("customer",{ storageEngine: { wiredTiger: { configString: "encryption=(name=none)" } } })