PolarDB for PostgreSQL (Kompatibel dengan Oracle) menyediakan fitur enkripsi data transparan (TDE). Fitur ini mengenkripsi dan mendekripsi file data secara real-time. Data dienkripsi saat ditulis ke disk dan didekripsi saat dimuat ke memori dari disk. Setelah mengaktifkan TDE, ukuran file data tidak bertambah, dan Anda dapat menggunakan TDE tanpa perlu mengubah konfigurasi aplikasi.
Prasyarat
Layanan Key Management Service (KMS) telah diaktifkan. Untuk informasi lebih lanjut, lihat Beli instance KMS khusus.
Kluster PolarDB memiliki otorisasi untuk mengakses KMS. Untuk informasi lebih lanjut, lihat Otorisasi kluster PolarDB untuk mengakses KMS.
Kluster PolarDB for PostgreSQL (Kompatibel dengan Oracle) Anda memenuhi persyaratan versi berikut:
Mesin database
Versi revisi
PolarDB for PostgreSQL (Kompatibel dengan Oracle) 2.0
2.0.14.23.1 atau yang lebih baru
Informasi latar belakang
TDE melakukan enkripsi data-diam pada lapisan database untuk mencegah penyerang potensial membaca informasi sensitif dari penyimpanan. TDE mengenkripsi data sensitif dalam tabel ruang, data yang disimpan di disk, serta cadangan. Data tersebut secara otomatis didekripsi menjadi teks biasa untuk aplikasi dan pengguna yang telah melewati autentikasi database. Sistem operasi dan pengguna yang tidak berwenang tidak dapat mengakses data terenkripsi dalam bentuk teks biasa.
PolarDB for PostgreSQL (Kompatibel dengan Oracle) menggunakan kunci yang dihasilkan dan dikelola oleh KMS untuk enkripsi TDE. PolarDB tidak menyediakan kunci dan sertifikat yang diperlukan untuk enkripsi. Anda dapat memberi otorisasi kepada PolarDB untuk menggunakan kunci yang dihasilkan secara otomatis oleh Alibaba Cloud atau kunci yang dihasilkan menggunakan informasi kunci Anda sendiri.
Catatan penggunaan
Anda tidak dapat menonaktifkan TDE setelah diaktifkan.
Dalam skenario beban kerja I/O terikat, TDE dapat memengaruhi kinerja database setelah diaktifkan.
Prosedur
Untuk informasi tentang cara mengaktifkan TDE saat membuat kluster, lihat Buat kluster. Bagian berikut menjelaskan cara mengaktifkan TDE untuk kluster PolarDB yang sudah ada.
Setelah mengaktifkan TDE untuk kluster PolarDB, kluster akan otomatis restart. Lanjutkan dengan hati-hati.
Masuk ke Konsol PolarDB.
Di panel navigasi sebelah kiri, klik Kluster.
Di pojok kiri atas, pilih wilayah tempat kluster diterapkan.
Temukan kluster dan klik ID-nya.
Di panel navigasi sebelah kiri, pilih .
Klik tab TDE Settings dan aktifkan TDE Status.
Di kotak dialog Configure TDE, pilih Use Default Key CMK atau Use Existing Custom Key.
Setelah memilih Use Default Key CMK, klik OK.
Setelah memilih Use Existing Custom Key, pilih kunci yang dihasilkan oleh KMS dari daftar drop-down dan klik OK.
Kunci tipe Aliyun_AES_256 didukung.
Jika menggunakan kunci kustom yang ada, pastikan kondisi berikut terpenuhi:
Anda menggunakan akun Alibaba Cloud atau akun yang memiliki kebijakan AliyunSTSAssumeRoleAccess yang dilampirkan.
Jika Anda menonaktifkan kunci, atur rencana penghapusan kunci terjadwal, atau hapus materi kunci, kunci tersebut menjadi tidak tersedia.
Jika Anda mencabut otorisasi untuk kluster PolarDB, kluster tersebut menjadi tidak tersedia setelah Anda me-restart kluster.
Jika Anda tidak memiliki kunci kustom, Anda perlu mengklik Create Now untuk pergi ke konsol KMS guna membuat kunci dan mengimpor materi kunci Anda sendiri. Untuk informasi lebih lanjut, lihat Buat CMK.
Membutuhkan waktu sekitar 10 menit untuk mengaktifkan TDE.
Lihat status TDE
Masuk ke Konsol PolarDB.
Di panel navigasi sebelah kiri, klik Kluster.
Di pojok kiri atas, pilih wilayah tempat kluster diterapkan.
Temukan kluster dan klik ID-nya.
Di panel navigasi sebelah kiri, pilih .
Di tab TDE Settings, lihat TDE Status.
Beralih ke kunci kustom
Masuk ke Konsol PolarDB.
Di panel navigasi sebelah kiri, klik Kluster.
Di pojok kiri atas, pilih wilayah tempat kluster diterapkan.
Temukan kluster dan klik ID-nya.
Di panel navigasi sebelah kiri, pilih .
Di tab TDE Settings, klik Beralih ke Kunci Kustom di sebelah kanan TDE Status.
Di kotak dialog Configure TDE, pilih Use Existing Custom Key, pilih kunci yang dihasilkan oleh KMS dari daftar drop-down, dan kemudian klik OK.
CatatanUntuk informasi tentang cara menggunakan kunci kustom yang ada, lihat bagian "Prosedur" dari topik ini.
Pengaturan lanjutan
Anda hanya dapat mengaktifkan rotasi kunci TDE otomatis jika memilih Gunakan Kunci Kustom yang Ada.
PolarDB tidak memperbarui versi utama kunci kustom. Anda dapat memperbarui versi kunci secara manual atau mengubah kebijakan rotasi kunci. Untuk informasi lebih lanjut, lihat Konfigurasikan Rotasi Kunci.
Setelah kluster PolarDB mendeteksi bahwa versi utama kunci kustom diperbarui, kunci TDE diputar dalam jendela pemeliharaan berikutnya. Setelah rotasi, kluster PolarDB direstart.
Anda dapat menggunakan salah satu metode berikut untuk mengaktifkan rotasi kunci TDE otomatis:
Saat mengaktifkan TDE dan segera mengonfigurasi TDE di kotak dialog Configure TDE, pilih Gunakan Kunci Kustom yang Ada dan aktifkan Automatic TDE Key Rotation di bagian Advanced Settings.
Setelah mengaktifkan TDE dan memilih Gunakan Kunci Kustom yang Ada, aktifkan Automatic TDE Key Rotation di tab TDE Settings.
FAQ
Setelah saya mengaktifkan TDE, apakah saya dapat menggunakan alat basis data umum seperti Navicat?
Ya, Anda dapat menggunakan alat basis data umum setelah mengaktifkan TDE.
Setelah saya mengaktifkan TDE, mengapa data saya masih dalam teks biasa?
Setelah mengaktifkan TDE, data Anda disimpan dalam bentuk ciphertext. Namun, saat data di-query, data tersebut didekripsi dan kemudian dimuat dalam bentuk teks biasa ke memori.
Operasi terkait
Operasi | Deskripsi |
Mengaktifkan fitur TDE atau memodifikasi pengaturan TDE untuk kluster PolarDB. | |
Memeriksa pengaturan TDE dari kluster PolarDB. | |
Membuat kluster PolarDB dengan fitur TDE diaktifkan. Catatan Parameter DBType harus diatur ke Oracle. |