PolarDB for PostgreSQL menyediakan transparent data encryption (TDE) yang melakukan enkripsi dan dekripsi I/O data secara real-time. Data dienkripsi sebelum ditulis ke disk dan didekripsi saat dibaca ke memori. TDE tidak menambah ukuran file data, sehingga Anda dapat menggunakan fitur ini tanpa mengubah aplikasi apa pun.
Berlaku untuk
Anda telah mengaktifkan KMS. Untuk informasi selengkapnya, lihat Beli instans KMS khusus.
Anda telah memberikan akses PolarDB ke KMS. Untuk informasi selengkapnya, lihat Otorisasi PolarDB untuk mengakses KMS.
Kluster PolarDB for PostgreSQL Anda harus memenuhi persyaratan berikut:
Versi mesin minor:
PostgreSQL 14 (versi mesin minor 2.0.14.12.23.1 atau lebih baru)
PostgreSQL 16 (versi mesin minor 2.0.16.9.6.0 atau lebih baru)
PostgreSQL 17 (versi mesin minor 2.0.17.6.4.0 atau lebih baru)
PostgreSQL 18 (versi mesin minor 2.0.18.0.1.0 atau lebih baru)
Kluster PolarDB for PostgreSQL distributed tidak didukung.
Anda dapat melihat versi mesin minor di Konsol atau menjalankan pernyataan SHOW polardb_version; untuk memeriksa versi. Jika kluster Anda tidak memenuhi persyaratan versi mesin minor, Anda harus meningkatkan versi mesin minor.
Informasi latar belakang
TDE melakukan enkripsi data statis pada lapisan database, mencegah penyerang membypass database untuk membaca informasi sensitif dari penyimpanan. Aplikasi dan pengguna yang terautentikasi dapat mengakses data secara transparan tanpa perubahan pada kode atau konfigurasi aplikasi. Namun, pengguna sistem operasi yang mencoba membaca data sensitif dari file ruang tabel serta pihak tidak sah yang mengakses disk atau backup tidak dapat melihat data dalam bentuk teks biasa.
Kunci yang digunakan untuk enkripsi TDE di PolarDB for PostgreSQL dan dihasilkan dan dikelola oleh Key Management Service (KMS). PolarDB tidak menyediakan kunci dan Sertifikat yang diperlukan untuk enkripsi. Anda dapat menggunakan kunci yang dihasilkan secara otomatis oleh Alibaba Cloud atau menggunakan bahan kunci Anda sendiri untuk menghasilkan kunci data dan memberikan izin PolarDB untuk menggunakannya.
Catatan
Fitur TDE tidak dapat dinonaktifkan setelah diaktifkan.
Pada skenario intensif I/O, mengaktifkan TDE dapat memengaruhi kinerja database.
Prosedur
Untuk mengaktifkan TDE saat membuat kluster, lihat Buat kluster database atau . Prosedur berikut menjelaskan cara mengaktifkan fitur TDE untuk kluster PolarDB yang sudah ada.
Mengaktifkan TDE akan merestart kluster PolarDB. Lakukan dengan hati-hati.
Masuk ke PolarDB console. Di panel navigasi sebelah kiri, klik Clusters. Pilih Wilayah tempat kluster Anda berada, lalu klik ID kluster untuk membuka halaman detail.
Di panel navigasi sebelah kiri, pilih .
Pada tab TDE Settings, aktifkan sakelar TDE Status.
Di kotak dialog, pilih Use Default Key CMK atau Use Existing Custom Key.
Jika Anda memilih Use Default Key CMK, klik OK untuk mengaktifkan TDE.
Jika Anda memilih Use Existing Custom Key, pilih kunci Key Management Service (KMS) dari daftar drop-down, lalu klik OK untuk mengaktifkan TDE.
Satu-satunya tipe kunci yang didukung adalah Aliyun_AES_256.
Saat menggunakan kunci kustom yang sudah ada, kondisi berikut harus dipenuhi:
Anda harus menggunakan Akun Alibaba Cloud atau akun yang memiliki izin AliyunSTSAssumeRoleAccess.
Menonaktifkan kunci, menjadwalkan penghapusan kunci, atau menghapus bahan kunci menyebabkan kunci tidak tersedia.
Jika Anda mencabut otorisasi lalu merestart kluster PolarDB, kluster tersebut menjadi tidak tersedia.
Jika Anda belum memiliki kunci kustom, klik Create Now untuk membuka Konsol KMS, tempat Anda dapat membuat kunci dan mengimpor bahan kunci Anda. Untuk informasi selengkapnya, lihat Buat kunci.
Mengaktifkan TDE memerlukan waktu sekitar 10 menit.
Lihat status TDE
Masuk ke PolarDB console. Di panel navigasi sebelah kiri, klik Clusters. Pilih Wilayah tempat kluster Anda berada, lalu klik ID kluster untuk membuka halaman detail.
Di panel navigasi sebelah kiri, pilih .
Pada tab TDE Settings, lihat sakelar TDE Status.
Beralih ke kunci kustom
Masuk ke PolarDB console. Di panel navigasi sebelah kiri, klik Clusters. Pilih Wilayah tempat kluster Anda berada, lalu klik ID kluster untuk membuka halaman detail.
Di panel navigasi sebelah kiri, pilih .
Pada tab TDE Settings, klik sakelar TDE Status.
Di kotak dialog, pilih Use Existing Custom Key, pilih kunci Key Management Service (KMS) dari daftar drop-down, lalu klik OK.
CatatanUntuk informasi selengkapnya tentang penggunaan kunci kustom, lihat catatan di bagian Prosedur.
Opsi lanjutan
Rotasi kunci TDE Otomatis hanya didukung saat Anda menggunakan kunci kustom yang sudah ada.
PolarDB tidak memperbarui versi kunci utama kunci kustom. Anda dapat memperbarui versi kunci secara manual atau mengubah kebijakan rotasi kunci. Untuk informasi selengkapnya, lihat Rotasi kunci.
Setelah PolarDB mendeteksi bahwa versi kunci utama kunci kustom telah diperbarui, sistem akan melakukan rotasi kunci TDE pada jendela waktu maintenance berikutnya. Kluster PolarDB akan restart selama proses ini.
Anda dapat mengaktifkan rotasi kunci TDE Otomatis dengan salah satu dari dua cara berikut:
Saat mengaktifkan TDE dengan kunci kustom, Anda dapat mengaktifkan Automatic TDE Key Rotation di bawah Advanced Settings dalam kotak dialog Configure TDE.
Setelah mengaktifkan TDE dengan kunci kustom, pada tab Configure TDE, aktifkan Automatic TDE Key Rotation di bawah Advanced Settings.
FAQ
Apakah saya masih dapat menggunakan alat database umum seperti Navicat setelah mengaktifkan TDE?
A: Ya, Anda bisa.
Mengapa data tampak dalam bentuk teks biasa saat saya melihatnya setelah mengaktifkan enkripsi?
A: Saat Anda melakukan kueri data, data tersebut didekripsi dan dibaca ke memori. Oleh karena itu, data ditampilkan dalam bentuk teks biasa. Data yang disimpan di media penyimpanan dienkripsi setelah Anda mengaktifkan TDE.
Operasi API terkait
API | Deskripsi |
Mengaktifkan fitur TDE untuk kluster PolarDB atau memodifikasi metode enkripsi. | |
Menanyakan pengaturan TDE kluster PolarDB. | |
Membuat kluster PolarDB dan mengaktifkan transparent data encryption (TDE). Catatan Parameter DBType harus diatur ke PostgreSQL atau . |