Konfigurasikan TDE untuk kluster PolarDB - PolarDB

Transparent Data Encryption (TDE) memungkinkan Anda melakukan enkripsi dan dekripsi I/O secara real-time pada file data. Data dienkripsi sebelum ditulis ke disk dan didekripsi saat dibaca dari disk ke memori. Setelah mengaktifkan TDE untuk kluster PolarDB, ukuran file data tidak bertambah. Anda dapat menggunakan TDE tanpa perlu mengubah konfigurasi aplikasi.

Prasyarat

PolarDB for MySQL kluster harus memenuhi persyaratan berikut:

Edisi	Mesin database	Versi revisi
Edisi Kluster	MySQL 5.6	5.6.1.0.21 atau lebih baru
	MySQL 5.7	5.7.1.0.3 atau lebih baru
	MySQL 8.0.1 dan MySQL 8.0.2	8.0.1.1.1 atau lebih baru
Edisi Standar	MySQL 5.7	5.7.1.0.3 atau lebih baru
Edisi Standar	MySQL 8.0.1 dan MySQL 8.0.2	8.0.1.1.1 atau lebih baru

Informasi latar belakang

TDE untuk PolarDB for MySQL menggunakan Algoritma Standar Enkripsi Lanjutan (AES) dengan panjang kunci 256-bit. Kunci yang digunakan dalam TDE dihasilkan dan dikelola oleh KMS. PolarDB for MySQL tidak menyediakan kunci atau sertifikat. Di beberapa zona, Anda dapat menggunakan kunci yang dihasilkan otomatis oleh Alibaba Cloud. Anda juga dapat menggunakan bahan kunci sendiri untuk menghasilkan kunci, lalu memberi otorisasi kepada PolarDB for MySQL untuk menggunakannya.

Perhatian

Dalam skenario terikat I/O, TDE dapat memengaruhi kinerja database secara negatif.
Jika Anda menggunakan kunci layanan yang dibuat otomatis oleh Alibaba Cloud, tidak ada biaya tambahan yang dikenakan.
Jika Anda menggunakan kunci kustom yang dibuat oleh KMS, biaya terkait mungkin timbul. Untuk informasi lebih lanjut tentang cara Anda dikenakan biaya untuk KMS, lihat Tagihan.
TDE dapat diaktifkan pada kluster yang telah bergabung dengan global database network (GDN). Setelah TDE diaktifkan pada kluster utama dalam GDN, TDE diaktifkan secara default pada kluster sekunder dalam GDN. Kunci yang digunakan oleh kluster sekunder dan wilayah tempat kunci berada harus sama dengan kluster utama. Wilayah kunci tidak dapat diubah.
Anda tidak dapat mengaktifkan TDE untuk kluster sekunder dalam GDN.
Anda tidak dapat mengaktifkan TDE untuk kluster serverless Edisi Standar atau Edisi Perusahaan yang menjalankan MySQL 8.0.2.

Prosedur

Penting

Setelah mengaktifkan TDE untuk kluster PolarDB for MySQL, kluster akan di-restart secara otomatis. Lanjutkan dengan hati-hati.
Setelah TDE diaktifkan, Anda tidak dapat menonaktifkan TDE.

Masuk ke Konsol PolarDB.
Di pojok kiri atas, pilih wilayah tempat kluster ditempatkan.
Temukan kluster dan klik ID-nya.
Di panel navigasi di sebelah kiri, pilih Settings and Management > Security Management.
Pada tab TDE Settings, aktifkan TDE Status.
Dalam kotak dialog Configure TDE, pilih Use Default Key of KMS atau Gunakan Kunci Kustom yang Ada.
Catatan
TDE mendukung kunci berikut: Aliyun_AES_256 dan Aliyun_SM4.
- Dalam kotak dialog yang muncul, pilih Gunakan Kunci Default KMS dan klik OK.
- Jika Anda memilih Gunakan Kunci Kustom yang Ada, pilih kunci yang dihasilkan oleh KMS dari daftar drop-down dan klik OK.
  Catatan
  Jika Anda memiliki kunci kustom, pastikan persyaratan berikut terpenuhi:
  Key Management Service (KMS) telah diaktifkan. Untuk informasi lebih lanjut, lihat Aktivasi KMS.
  Kluster PolarDB Anda telah diberi otorisasi untuk mengakses KMS. Untuk informasi lebih lanjut, lihat Otorisasi kluster PolarDB untuk mengakses KMS.
  Anda harus menggunakan akun Alibaba Cloud atau akun yang memiliki izin AliyunSTSAssumeRoleAccess.
  Jika Anda tidak memiliki kunci kustom, Anda perlu klik go to the KMS console. Di konsol KMS, Anda dapat membuat kunci dan mengimpor bahan kunci Anda sendiri. Untuk informasi lebih lanjut, lihat Buat CMK.
  Anda dapat mengonfigurasi kebijakan kustom untuk mengharuskan pengguna RAM mengaktifkan TDE saat membuat kluster di konsol atau dengan memanggil operasi API.
  Jika Anda menggunakan kunci kustom yang ada untuk TDE, perhatikan informasi berikut:
  Jika Anda menonaktifkan kunci, mengonfigurasi rencana untuk menghapus kunci, atau menghapus bahan kunci, kunci menjadi tidak tersedia.
  Jika Anda mencabut otorisasi ke kluster PolarDB for MySQL, kluster menjadi tidak tersedia setelah Anda me-restart kluster.
Membutuhkan waktu sekitar 10 menit untuk mengaktifkan TDE.

Pengaturan lanjutan

Catatan

Anda dapat mengaktifkan fitur Advanced Settings hanya ketika kluster Anda adalah versi berikut:

PolarDB for MySQL 8.0 dan versi revisi adalah 8.0.1.1.15 atau lebih baru.
PolarDB for MySQL 5.7 dan versi revisi adalah 5.7.1.0.35 atau lebih baru.

Saat mengaktifkan TDE, Anda dapat mengaktifkan fitur Advanced Settings dalam kotak dialog Configure TDE. Setelah fitur ini diaktifkan, semua tabel baru yang dibuat akan dienkripsi secara otomatis. 开启高级选项

Enkripsi dan dekripsi tabel

Catatan

Jika Anda mengaktifkan Advanced Settings, tabel yang dibuat akan dienkripsi secara otomatis dan Anda tidak perlu secara manual mengenkripsi tabel yang dibuat. Untuk tabel yang sudah ada, Anda perlu melakukan operasi tertentu untuk mengenkripsi data.

Untuk mengenkripsi atau mendekripsi tabel setelah mengaktifkan TDE, Anda harus masuk ke database dan menjalankan pernyataan DDL yang relevan. Tabel berikut mencantumkan pernyataan DDL yang dijalankan untuk mengenkripsi dan mendekripsi tabel dalam kluster PolarDB for MySQL dari versi MySQL yang berbeda.

Item	PolarDB MySQL 5.6	PolarDB MySQL 5.7 & PolarDB MySQL 8.0
Enkripsi	`alter table <tablename> block_format=encrypted;`	`alter table <tablename> encryption= 'Y';`
Dekripsi	`alter table <tablename> block_format=default;`	`alter table <tablename> encryption= 'N';`

Catatan

Saat menjalankan pernyataan alter table sebelumnya untuk mengenkripsi atau mendekripsi tabel, tabel tersebut dikunci.