PolarDB for PostgreSQL menyediakan fitur enkripsi data transparan (TDE). Fitur ini mengenkripsi dan mendekripsi file data secara real-time. Data dienkripsi saat ditulis ke disk dan didekripsi saat dimuat ke memori dari disk. Setelah TDE diaktifkan untuk kluster Anda, ukuran file data tidak bertambah. Anda dapat menggunakan TDE tanpa perlu mengubah konfigurasi aplikasi.
Prasyarat
Key Management Service (KMS) telah diaktifkan. Untuk informasi lebih lanjut, lihat Beli instance KMS khusus.
Kluster PolarDB memiliki otorisasi untuk mengakses KMS. Untuk informasi lebih lanjut, lihat Otorisasi kluster PolarDB untuk mengakses KMS.
Kluster PolarDB for PostgreSQL Anda memenuhi persyaratan versi berikut:
Mesin database
Versi revisi
PostgreSQL 14
14.12.23.1 atau yang lebih baru
Informasi latar belakang
TDE melakukan enkripsi data-at-rest pada lapisan database. Ini mencegah penyerang potensial membaca informasi sensitif langsung dari penyimpanan. TDE mengenkripsi data sensitif dalam tablespace, serta data yang disimpan di disk dan cadangan. Data secara otomatis didekripsi menjadi teks biasa untuk aplikasi dan pengguna yang telah melewati autentikasi database. Sistem operasi dan pengguna yang tidak sah tidak dapat mengakses data terenkripsi dalam bentuk teks biasa.
PolarDB for PostgreSQL menggunakan kunci yang dihasilkan dan dikelola oleh KMS untuk enkripsi TDE. PolarDB tidak menyediakan kunci atau sertifikat yang diperlukan untuk enkripsi. Anda dapat memberikan otorisasi kepada PolarDB untuk menggunakan kunci yang dihasilkan secara otomatis oleh Alibaba Cloud atau kunci yang dihasilkan menggunakan informasi kunci Anda sendiri.
Catatan penggunaan
Anda tidak dapat menonaktifkan TDE setelah diaktifkan.
Dalam skenario beban kerja terikat I/O, TDE dapat memengaruhi kinerja database setelah diaktifkan.
Prosedur
Untuk informasi tentang cara mengaktifkan TDE saat membuat kluster, lihat Buat kluster. Bagian berikut menjelaskan cara mengaktifkan TDE untuk kluster PolarDB yang sudah ada.
Setelah Anda mengaktifkan TDE untuk kluster PolarDB, kluster tersebut akan otomatis restart. Lanjutkan dengan hati-hati.
Masuk ke Konsol PolarDB.
Di panel navigasi sebelah kiri, klik Clusters.
Di pojok kiri atas, pilih wilayah tempat kluster ditempatkan.
Temukan kluster dan klik ID-nya.
Di panel navigasi sebelah kiri, pilih .
Klik tab TDE Settings dan aktifkan TDE Status.
Di kotak dialog Configure TDE, pilih Use Default Key CMK atau Use Existing Custom Key.
Setelah memilih Use Default Key CMK, klik OK.
Setelah memilih Use Existing Custom Key, pilih kunci yang dihasilkan oleh KMS dari daftar drop-down dan klik OK.
Kunci tipe Aliyun_AES_256 didukung.
Jika Anda menggunakan kunci kustom yang ada, pastikan kondisi berikut terpenuhi:
Anda menggunakan akun Alibaba Cloud atau akun yang memiliki kebijakan AliyunSTSAssumeRoleAccess.
Jika Anda menonaktifkan kunci, menetapkan jadwal penghapusan kunci terjadwal, atau menghapus material kunci, kunci tersebut menjadi tidak tersedia.
Jika Anda mencabut otorisasi ke kluster PolarDB, kluster tersebut menjadi tidak tersedia setelah Anda merestart kluster.
Jika Anda tidak memiliki kunci kustom, Anda perlu mengklik Create Now untuk masuk ke konsol KMS guna membuat kunci dan mengimpor material kunci Anda sendiri. Untuk informasi lebih lanjut, lihat Buat CMK.
Membutuhkan waktu sekitar 10 menit untuk mengaktifkan TDE.
Lihat status TDE
Masuk ke Konsol PolarDB.
Di panel navigasi sebelah kiri, klik Clusters.
Di pojok kiri atas, pilih wilayah tempat kluster ditempatkan.
Temukan kluster dan klik ID-nya.
Di panel navigasi sebelah kiri, pilih .
Di tab TDE Settings, lihat TDE Status.
Beralih ke kunci kustom
Masuk ke Konsol PolarDB.
Di panel navigasi sebelah kiri, klik Clusters.
Di pojok kiri atas, pilih wilayah tempat kluster ditempatkan.
Temukan kluster dan klik ID-nya.
Di panel navigasi sebelah kiri, pilih .
Di tab TDE Settings, klik Switch to Custom Key di sebelah kanan TDE Status.
Di kotak dialog Configure TDE, pilih Use Existing Custom Key, pilih kunci yang dihasilkan oleh KMS dari daftar drop-down, dan kemudian klik OK.
CatatanUntuk informasi tentang cara menggunakan kunci kustom yang ada, lihat bagian "Prosedur" dari topik ini.
Pengaturan lanjutan
Anda hanya dapat mengaktifkan rotasi kunci TDE otomatis jika Anda memilih Use Existing Custom Key.
PolarDB tidak memperbarui versi utama kunci kustom. Anda dapat memperbarui versi kunci secara manual atau mengubah kebijakan rotasi kunci. Untuk informasi lebih lanjut, lihat Konfigurasikan Rotasi Kunci.
Setelah kluster PolarDB mendeteksi bahwa versi utama kunci kustom diperbarui, kunci TDE diputar dalam jendela pemeliharaan berikutnya. Setelah rotasi, kluster PolarDB direstart.
Anda dapat menggunakan salah satu metode berikut untuk mengaktifkan rotasi kunci TDE otomatis:
Saat Anda mengaktifkan TDE dan segera mengonfigurasi TDE di kotak dialog Configure TDE, pilih Use Existing Custom Key dan aktifkan Automatic TDE Key Rotation di bagian Advanced Settings.
Setelah Anda mengaktifkan TDE dan memilih Use Existing Custom Key, aktifkan Automatic TDE Key Rotation di tab TDE Settings.
FAQ
Setelah saya mengaktifkan TDE, apakah saya bisa menggunakan alat database umum seperti Navicat?
Ya, Anda bisa menggunakan alat database umum setelah mengaktifkan TDE.
Setelah saya mengaktifkan TDE, mengapa data saya masih dalam teks biasa?
Setelah Anda mengaktifkan TDE, data Anda disimpan dalam bentuk ciphertext. Namun, saat data di-query, data tersebut didekripsi dan kemudian dimuat dalam teks biasa ke memori.
Operasi terkait
Operasi | Deskripsi |
Mengaktifkan fitur TDE atau memodifikasi pengaturan TDE untuk kluster PolarDB. | |
Memeriksa pengaturan TDE dari kluster PolarDB. | |
Membuat kluster PolarDB dengan fitur TDE diaktifkan. Catatan Parameter DBType harus diatur ke PostgreSQL. |