Untuk meningkatkan keamanan data saat tidak aktif (data at rest), Anda dapat mengaktifkan fitur enkripsi disk tanpa biaya tambahan. Fitur ini mengenkripsi seluruh data pada disk sehingga memastikan data tidak dapat didekripsi meskipun disk atau cadangannya dikompromikan. Pengaktifan enkripsi disk tidak memerlukan perubahan pada kode aplikasi Anda, berdampak minimal terhadap kinerja instans, dan memastikan snapshot instans secara otomatis mewarisi atribut enkripsi.
Ikhtisar
Cara kerja
Fitur enkripsi disk menggunakan algoritma enkripsi standar industri AES-256 untuk mengenkripsi seluruh data pada disk. Saat enkripsi disk diaktifkan, data secara otomatis dienkripsi sebelum ditulis ke disk dan didekripsi saat dibaca oleh pengguna yang berwenang. Proses ini tidak memerlukan perubahan pada kode aplikasi Anda. Untuk informasi lebih lanjut tentang cara kerja enkripsi disk, lihat Enkripsi disk.
Kunci enkripsi
Key Management Service (KMS) menyediakan kunci yang diperlukan untuk enkripsi disk. Anda dapat menggunakan beberapa jenis kunci dari KMS untuk mengenkripsi disk, termasuk kunci default (yang mencakup service key dan customer master key (CMK)), kunci yang dilindungi perangkat lunak, serta kunci yang dilindungi perangkat keras. Tabel berikut menjelaskan perbedaan antara jenis-jenis kunci tersebut.
Jenis kunci | Algoritma enkripsi | Biaya | Pembuat | Sumber material kunci | Deskripsi | |
Kunci default | Service key | AES_256 | Gratis | Layanan Alibaba Cloud membuat dan mengelolanya untuk Anda. | Tidak dapat dihapus atau dinonaktifkan. Setiap pengguna hanya dapat memiliki satu service key untuk RDS di wilayah yang sama. | |
Customer master key (CMK) | Anda | Dihasilkan oleh KMS atau diimpor oleh Anda | Anda dapat mengelola siklus hidupnya. Setiap pengguna hanya dapat memiliki satu customer master key (CMK) di wilayah yang sama. | |||
Kunci yang dilindungi perangkat lunak dan kunci yang dilindungi perangkat keras | Berbayar | Anda | Dihasilkan oleh KMS atau diimpor oleh Anda | Anda dapat mengelola siklus hidupnya dan membuat beberapa kunci. | ||
Jika bisnis Anda tidak memerlukan isolasi kunci antar instans dan ingin mengurangi biaya, Anda dapat memilih kunci default, seperti service key atau customer master key (CMK). Opsi ini gratis tetapi memiliki batasan jumlah. Setiap pengguna hanya dapat memiliki satu CMK dan satu service key untuk RDS di wilayah yang sama.
Jika Anda perlu menggunakan kunci berbeda untuk mengenkripsi instans RDS yang berbeda atau memerlukan fitur tambahan seperti manajemen kredensial dan tanda tangan digital, Anda dapat membeli instans kunci perangkat lunak atau perangkat keras dan membuat kunci yang diperlukan. Untuk informasi lebih lanjut, lihat Pilih kunci KMS.
Prasyarat
Anda tidak dapat mengaktifkan enkripsi disk secara manual untuk instans hanya baca RDS for MySQL.
Untuk mengaktifkan enkripsi disk pada instans utama RDS for MySQL, Anda harus memenuhi kondisi berikut:
Tipe penyimpanan adalah ESSD atau high-performance local disk.
Instans utama tidak memiliki instans hanya baca yang tersambung. Jika terdapat instans hanya baca yang tersambung, Anda harus terlebih dahulu melepas instans hanya baca sebelum dapat mengaktifkan enkripsi disk. Setelah enkripsi disk diaktifkan pada instans utama, instans hanya baca baru yang dibuat darinya akan secara otomatis memiliki enkripsi disk yang diaktifkan.
Anda telah memberi otorisasi kepada RDS untuk mengakses Key Management Service (KMS).
Penagihan
Fitur enkripsi disk gratis dan tidak ada biaya tambahan untuk operasi baca atau tulis disk.
KMS mengelola kunci untuk enkripsi disk. Kunci default, termasuk service key dan customer master key (CMK), gratis. KMS membebankan biaya untuk penggunaan kunci yang dilindungi perangkat lunak dan kunci yang dilindungi perangkat keras.
Batasan
Setelah diaktifkan, enkripsi disk tidak dapat dinonaktifkan.
Gangguan layanan: Mengaktifkan enkripsi disk pada instans yang sudah ada atau mengganti kunci menyebabkan gangguan layanan singkat sekitar 30 detik. Pastikan aplikasi Anda memiliki mekanisme penghubungan ulang otomatis.
Cadangan dan pemulihan: Setelah enkripsi disk diaktifkan, pencadangan tingkat detik dan unduhan cadangan tidak didukung. Snapshot instans, serta instans lain yang dibuat dari snapshot tersebut, secara otomatis mewarisi atribut enkripsi.
Batasan kunci: Tipe instans membatasi kunci KMS yang dapat Anda pilih. Pembayaran tertunda untuk KMS atau menonaktifkan/menghapus kunci dapat memengaruhi beberapa instans yang telah diaktifkan enkripsi disknya.
Batasan pemilihan kunci: Tipe instans general-purpose hanya mendukung service key. Tipe instans khusus mendukung service key atau kunci kustom.
Dampak pembayaran KMS tertunda: Jika Anda menggunakan tipe kunci berbayar, seperti kunci yang dilindungi perangkat lunak atau kunci yang dilindungi perangkat keras, pembayaran tertunda untuk instans KMS Anda mencegah disk terenkripsi didekripsi. Hal ini membuat seluruh instans tidak tersedia. Pastikan Anda melakukan perpanjangan instans KMS tepat waktu.
Dampak menonaktifkan atau menghapus kunci: Untuk kunci yang siklus hidupnya dapat Anda kelola, seperti customer master key (CMK), kunci yang dilindungi perangkat lunak, dan kunci yang dilindungi perangkat keras, menonaktifkan atau menghapus kunci akan mengunci instans RDS terkait. Instans menjadi tidak dapat diakses. Semua operasi O&M, seperti pencadangan, perubahan konfigurasi, restart, dan alih bencana (HA), akan gagal.
Aktifkan enkripsi disk
Aktifkan enkripsi saat membuat instans
Buka halaman pembelian RDS for MySQL. Di bilah navigasi atas, klik Standard Creation.
Untuk Storage Type, pilih tipe disk yang menggunakan cloud disk, lalu centang kotak pilihan Cloud Disk Encryption.
Pilih kunci:
Untuk menggunakan service key (gratis): Pilih Default Service CMK. Anda dapat memilih opsi ini terlepas dari apakah service key sudah ada di wilayah saat ini.
Untuk menggunakan customer master key (CMK) (gratis), kunci yang dilindungi perangkat lunak (berbayar), atau kunci yang dilindungi perangkat keras (berbayar): Jika Anda telah membuat kunci yang diinginkan, pilih dari daftar tarik-turun. Jika belum, klik Create Now untuk membuat kunci di konsol KMS.
CatatanJika Anda tidak memiliki service key di wilayah saat ini, sistem secara otomatis membuat service key dengan alias
alias/acs/rdssaat Anda memilih Default Service CMK.Jika service key sudah ada di wilayah saat ini, kunci baru tidak dibuat saat Anda memilih Default Service CMK. Service key yang sudah ada dengan alias
alias/acs/rdsdigunakan untuk enkripsi secara default. Setiap layanan Alibaba Cloud hanya memiliki satu service key di setiap wilayah.
Konfigurasikan parameter lain sesuai kebutuhan. Setelah pembayaran, buka daftar Instances dan klik ID instans target. Di bagian Basic Information, kunci yang ditampilkan menunjukkan bahwa enkripsi disk telah diaktifkan.
Aktifkan enkripsi untuk instans yang sudah ada
Mengaktifkan enkripsi disk pada instans yang sudah ada menyebabkan gangguan layanan sekitar 30 detik. Pastikan aplikasi Anda memiliki mekanisme penghubungan ulang otomatis.
Buka daftar Instances, pilih wilayah di bagian atas, lalu klik ID instans target.
Di panel navigasi kiri, klik Data Security.
Di tab Data Encryption, klik Enable Cloud Disk Encryption.
Pada kotak dialog yang muncul, pilih kunci lalu klik OK. Status instans berubah menjadi Modifying Parameters.
Tunggu hingga proses selesai. Enkripsi disk diaktifkan ketika status instans kembali menjadi Running dan informasi enkripsi muncul di tab Data Encryption.
Ganti kunci
Anda dapat mengganti kunci untuk instans RDS for MySQL terenkripsi yang menggunakan tipe instans khusus. Instans RDS for MySQL dengan tipe instans general-purpose hanya dapat menggunakan service key dan tidak mendukung penggantian kunci.
Mengganti kunci menyebabkan gangguan layanan sekitar 30 detik. Pastikan aplikasi Anda memiliki mekanisme penghubungan ulang otomatis.
Buka daftar Instances, pilih wilayah di bagian atas, lalu klik ID instans target.
Di panel navigasi kiri, klik Data Security.
Di tab Data Encryption, klik Replace Key.
Pada kotak dialog Change Encryption Key of Data Disk, pilih kunci lalu klik OK.
Topik terkait
Untuk perbandingan antara transparent data encryption (TDE), enkripsi disk, dan always-confidential database, lihat Perbandingan teknologi enkripsi database yang berbeda.
Gunakan enkripsi disk untuk mesin database lainnya:
API terkait: DescribeDBInstanceEncryptionKey - Kueri status enkripsi disk dan detail kunci