全部产品
Search

搜索本产品

    ApsaraDB RDS:Enkripsi Disk

    文档中心

    ApsaraDB RDS:Enkripsi Disk

    更新时间:Nov 13, 2025

    Untuk meningkatkan keamanan data saat tidak aktif, Anda dapat mengaktifkan fitur enkripsi disk tanpa biaya tambahan. Fitur ini mengenkripsi seluruh data disk untuk memastikan data tidak dapat didekripsi bahkan jika penyimpanan fisik atau backup diakses tanpa otorisasi. Mengaktifkan enkripsi disk tidak memerlukan perubahan pada kode aplikasi Anda dan berdampak minimal pada performa instans. Snapshot dari data terenkripsi juga akan dienkripsi secara otomatis.

    Ringkasan

    Cara kerjanya

    Enkripsi disk menggunakan algoritma standar industri AES-256 untuk mengenkripsi seluruh data disk saat tidak aktif. Saat diaktifkan, data secara otomatis dienkripsi sebelum ditulis ke disk dan disimpan sebagai ciphertext. Hal ini membuat data tidak dapat dibaca bahkan jika penyimpanan atau backup diakses tanpa otorisasi. Data didekripsi secara otomatis saat dibaca oleh pengguna yang memiliki otorisasi. Proses dekripsi ini transparan bagi aplikasi Anda, tanpa memerlukan perubahan kode. Untuk detail lebih lanjut tentang prinsip enkripsi, lihat Enkripsi cloud disk.

    Kunci enkripsi

    Kunci enkripsi yang diperlukan untuk enkripsi disk disediakan oleh Key Management Service (KMS). Anda dapat menggunakan beberapa jenis kunci dari KMS untuk mengenkripsi cloud disk Anda, termasuk kunci default (service key dan Customer Master Keys), software-protected key, dan hardware-protected key. Perbedaan jenis-jenis kunci ini dijelaskan di bawah ini:

    Jenis kunci

    Algoritma enkripsi

    Biaya

    Pembuat

    Sumber materi kunci

    Deskripsi

    Default key

    Service key

    AES_256

    Gratis

    Dibuat dan dikelola oleh layanan Alibaba Cloud yang sesuai

    Tidak dapat dihapus atau dinonaktifkan. Setiap pengguna hanya dapat memiliki satu service key untuk ApsaraDB RDS (RDS) per wilayah.

    Customer Master Key (CMK)

    Anda

    Dihasilkan oleh KMS atau diimpor oleh Anda

    Anda dapat mengelola lifecycle-nya. Setiap pengguna hanya dapat memiliki satu CMK per wilayah.

    Software-protected keys and hardware-protected keys

    Multiple algoritma

    Dikenakan biaya

    Anda

    Dihasilkan oleh KMS atau diimpor oleh Anda

    Anda dapat mengelola lifecycle-nya dan membuat multiple kunci.

    • Jika bisnis Anda tidak memerlukan isolasi kunci antar instans dan ingin meminimalkan biaya, pilih kunci default (service key atau CMK). Kunci ini gratis, tetapi jumlahnya terbatas. Setiap pengguna dibatasi satu CMK dan satu service key untuk RDS per wilayah.

    • Jika Anda perlu mengenkripsi instans RDS yang berbeda dengan kunci yang berbeda atau memerlukan fitur advanced seperti credentials management atau digital signature, beli software atau hardware key instans dan buat kunci yang sesuai. Untuk informasi lebih lanjut, lihat Pemilihan instans.

    Prasyarat

    • Enkripsi disk tidak dapat diaktifkan secara manual untuk instans read-only RDS for MySQL.

    • Untuk mengaktifkan enkripsi disk pada instans primary RDS for MySQL, instans harus memenuhi persyaratan berikut:

      • Instans menggunakan ESSDs, Premium ESSDs, atau Standard SSDs.

      • Instans tidak memiliki instans read-only. Jika ada, Anda harus menghapus instans read-only terlebih dahulu sebelum dapat mengaktifkan enkripsi disk. Setelah enkripsi disk diaktifkan pada instans primary, enkripsi disk akan diaktifkan secara default pada setiap instans read-only baru yang dibuat.

    • Anda harus menggunakan akun Alibaba Cloud Anda untuk memberikan izin kepada RDS untuk mengakses KMS.

    Penagihan

    • Fitur enkripsi disk tidak dikenakan biaya. Setelah mengaktifkannya, Anda tidak dikenakan biaya tambahan untuk operasi baca atau tulis disk.

    • Kunci enkripsi dikelola oleh KMS. Penggunaan kunci default (service key dan CMK) gratis. KMS mengenakan biaya untuk penggunaan software-protected key dan hardware-protected key.

    Batasan

    • Setelah diaktifkan, enkripsi disk tidak dapat dinonaktifkan.

    • Gangguan layanan: Mengaktifkan enkripsi disk untuk instans yang ada atau mengubah kunci enkripsi menyebabkan gangguan layanan selama kurang lebih 30 detik. Pastikan aplikasi Anda dapat terhubung kembali secara otomatis ke instans.

    • Backup dan pemulihan: Setelah enkripsi disk diaktifkan, instans tidak mendukung fitur backup berikut: backup dalam hitungan detik, backup cross-region, dan backup download. Snapshot backup dari instans, serta instans lain yang dibuat darinya, akan dienkripsi secara otomatis.

    • Kunci: Jenis instans membatasi kunci KMS yang dapat Anda pilih. Keterlambatan pembayaran KMS, serta penonaktifan atau penghapusan kunci, dapat berdampak pada instans terenkripsi.

      • Pemilihan kunci: Jenis instans general-purpose hanya mendukung service key. Jenis instans dedicated dapat menggunakan service key atau kunci lain yang dikelola pengguna.

      • Dampak keterlambatan pembayaran KMS: Jika Anda menggunakan jenis kunci berbayar (seperti software-protected key atau hardware-protected key), keterlambatan pembayaran KMS akan mencegah dekripsi disk, sehingga membuat seluruh instans tidak dapat diakses. Pastikan Anda menyelesaikan pembayaran untuk instans KMS Anda tepat waktu.

      • Dampak menonaktifkan atau menghapus kunci: Untuk kunci dengan lifecycle yang dapat dikelola (seperti CMK, software-protected key, dan hardware-protected key), menonaktifkan atau menghapus kunci akan mengunci instans RDS yang terkait. Instans akan menjadi tidak dapat diakses dan tidak akan berfungsi dengan benar. Semua operasi O&M—seperti backup, perubahan konfigurasi, restart, dan switchover primary/secondary—akan gagal.

    Mengaktifkan enkripsi disk

    Mengaktifkan enkripsi disk saat membuat instans

    1. Buka halaman pembelian RDS for MySQL. Di bilah navigasi atas, pilih tab Standard Creation.

    2. Pilih ESSD atau Premium ESSD untuk Storage Type lalu pilih Cloud Disk Encryption.

    3. Pilih kunci enkripsi.

      • Untuk menggunakan service key (gratis), Anda dapat memilih Default Service CMK terlepas dari apakah Anda telah membuat service key di wilayah saat ini.

      • Untuk menggunakan CMK (gratis), software-protected key (berbayar), atau hardware-protected key (berbayar) yang sudah ada, pilih kunci dari daftar drop-down. Jika kunci yang diinginkan tidak ada, klik create now untuk membuat kunci di konsol KMS.

        Catatan

        • Jika Anda tidak memiliki service key di wilayah saat ini, memilih Default Service CMK akan secara otomatis membuat service key dengan alias alias/acs/rds.

        • Jika service key sudah ada, memilih Default Service CMK tidak akan membuat yang baru. Sebaliknya, service key yang ada dengan alias alias/acs/rds akan digunakan untuk enkripsi. Setiap layanan hanya memiliki satu service key per wilayah.

    4. Konfigurasikan parameter lain sesuai kebutuhan. Setelah pembayaran selesai, buka halaman Instances. Klik ID instans target. Di bagian Basic Information, periksa informasi kunci enkripsi. Informasi ini mengonfirmasi bahwa enkripsi disk telah berhasil diaktifkan.

    Mengaktifkan enkripsi disk untuk instans yang sudah ada

    Penting

    Mengaktifkan enkripsi disk untuk instans yang sudah ada menyebabkan gangguan layanan selama kurang lebih 30 detik. Pastikan aplikasi Anda dapat terhubung kembali secara otomatis ke instans.

    1. Buka halaman Instances di konsol RDS. Pilih wilayah instans di bilah navigasi atas. Lalu, klik ID instans.

    2. Di panel navigasi kiri, klik Data Security.

    3. Pada halaman yang muncul, klik tab Data Encryption. Lalu, klik Enable Cloud Disk Encryption.

    4. Pada kotak dialog yang muncul, pilih kunci enkripsi dan klik OK. Status instans berubah menjadi Modifying Parameters.

    5. Tunggu hingga status instans berubah menjadi Running dan informasi enkripsi ditampilkan pada tab Data Encryption.image

    Mengubah kunci enkripsi

    Untuk instans RDS for MySQL dedicated yang enkripsi disknya sudah aktif, Anda dapat mengubah kunci enkripsi dengan mengikuti langkah-langkah berikut. Instans general-purpose hanya mendukung service key dan tidak mengizinkan penggantian kunci.

    Penting

    Mengubah kunci enkripsi menyebabkan gangguan layanan selama kurang lebih 30 detik. Pastikan aplikasi Anda dapat terhubung kembali secara otomatis ke instans.

    1. Buka halaman Instances di konsol RDS. Pilih wilayah instans di bilah navigasi atas. Lalu, klik ID instans.

    2. Di panel navigasi kiri, klik Data Security.

    3. Pada halaman yang muncul, klik tab Data Encryption. Kemudian, klik Replace Key.

    4. Pada kotak dialog Change Encryption Key of Data Disk, pilih kunci baru dan klik OK.

    Topik terkait