全部产品
Search

搜索本产品

    ApsaraDB RDS:Enkripsi kolom

    文档中心

    ApsaraDB RDS:Enkripsi kolom

    更新时间:Jul 06, 2025

    Fitur enkripsi kolom yang disediakan oleh Data Security Center (DSC) memungkinkan akses terenkripsi ke data kolom sensitif di ApsaraDB RDS for PostgreSQL. Fitur ini mencegah personel tidak berwenang mengakses data sensitif dalam teks biasa melalui perangkat lunak platform cloud atau alat koneksi database, memastikan bahwa data tersedia tetapi tidak terlihat di database, dan melindungi dari ancaman keamanan baik internal maupun eksternal.

    Prasyarat

    • Instans berjalan pada RDS PostgreSQL 16 dengan versi mesin minor 20250228 atau lebih baru.

    • Instans berada di salah satu wilayah berikut:

      Tipe Wilayah

      Nama Wilayah

      Tiongkok Daratan

      Cina (Qingdao), Cina (Beijing), Cina (Zhangjiakou), Cina (Hohhot), Cina (Hangzhou), Cina (Shanghai), Cina (Shenzhen), Cina (Guangzhou), Cina (Chengdu).

      Luar Wilayah Daratan Tiongkok

      Cina (Hong Kong), Singapura, Malaysia (Kuala Lumpur), Indonesia (Jakarta), Jerman (Frankfurt).

    Pengenalan fitur

    Fitur enkripsi kolom untuk RDS PostgreSQL disediakan oleh Data Security Center (DSC). Menggunakan algoritma enkripsi AES-256-GCM dan metode enkripsi kunci lokal, fitur ini mengonfigurasi enkripsi untuk kolom data sensitif dalam database. Hal ini memastikan bahwa data sensitif disimpan dalam bentuk terenkripsi dan memungkinkan pengguna berwenang mengakses data teks biasa melalui klien setelah dekripsi. Anda dapat memilih dan memodifikasi instans RDS PostgreSQL, database, tabel, dan rentang kolom yang akan dienkripsi.

    Persiapan

    Sebelum mengaktifkan fitur enkripsi kolom, selesaikan langkah-langkah berikut secara berurutan: aktifkan atau tingkatkan layanan DSC, otorisasi DSC untuk mengakses sumber daya cloud, otorisasi aset database, hubungkan ke database, dan jalankan tugas identifikasi data sensitif.

    1. Aktifkan atau tingkatkan layanan DSC

    Untuk pengguna baru yang belum pernah menggunakan Data Security Center, aktifkan layanan DSC

    Setelah mengaktifkan layanan DSC dan fitur enkripsi kolom, Anda akan menerima kuota enkripsi kolom gratis. Jika memerlukan lebih banyak kolom terenkripsi, Anda dapat membeli kapasitas tambahan. Fitur enkripsi kolom tersedia untuk pengguna Edisi Gratis, Edisi Premium, Edisi Perusahaan, dan Paket Layanan Nilai Tambah dari Data Security Center (DSC).

    Edisi

    Spesifikasi gratis

    Edisi Gratis

    1 kolom.

    Edisi Perusahaan

    1 kolom.

    Edisi Hanya Layanan Nilai Tambah

    1 kolom.

    1. Kunjungi halaman pembelian Halaman pembelian Data Security Center dan masuk ke akun Alibaba Cloud Anda.

    2. Pilih edisi yang sesuai dan aktifkan enkripsi kolom.

      image

    3. Klik Buy Now, lalu selesaikan pembayaran.

    4. Anda dapat melihat spesifikasi fitur edisi yang dibeli di halaman Overview.

    Untuk pengguna DSC yang sudah ada, periksa edisi DSC dan kuota enkripsi kolom, serta tingkatkan layanan DSC jika diperlukan

    Periksa edisi DSC dan kuota enkripsi kolom

    Masuk ke Konsol Data Security Center, lalu periksa versi DSC dan kuota enkripsi kolom di halaman Overview:

    • Versi DSC: Fitur enkripsi kolom hanya tersedia untuk pengguna Edisi Gratis, Edisi Perusahaan, dan Edisi Hanya Layanan Nilai Tambah.

    • Kuota enkripsi kolom: Periksa apakah kuota memenuhi persyaratan bisnis Anda.

    image

    Tingkatkan layanan DSC

    Jika edisi DSC Anda tidak kompatibel atau kuota enkripsi kolom tidak mencukupi, tingkatkan layanan DSC untuk mendapatkan kapasitas tambahan.

    Saat ini, hanya peningkatan dari Edisi Premium ke Edisi Perusahaan yang didukung, termasuk peningkatan kemampuan modul fleksibel dalam edisi yang sama (contohnya, meningkatkan jumlah kolom yang didukung untuk enkripsi kolom). Edisi lainnya tidak mendukung peningkatan. Anda dapat mengubah edisi menggunakan metode berikut:

    • Edisi Gratis: Anda dapat membeli versi berbayar (seperti Edisi Perusahaan, atau Edisi Hanya Layanan Nilai Tambah) tanpa kehilangan sumber daya Edisi Gratis Anda.

    • Edisi Perusahaan atau Edisi Hanya Layanan Nilai Tambah: Anda perlu meminta pengembalian dana dan kemudian membeli edisi lain. Namun, instans asli dan datanya akan dilepaskan.

    • Peningkatan konfigurasi instans tidak mendukung memodifikasi durasi langganan, artinya periode layanan tersisa dari instans saat ini tetap tidak berubah.

    1. Masuk ke Konsol Data Security Center.

    2. Di halaman Overview, klik Upgrade.

    3. Di halaman peningkatan Data Security Center, pilih untuk meningkatkan ke Edisi Perusahaan atau menambah kapasitas enkripsi kolom dalam edisi Anda saat ini.

    4. Klik Buy Now dan selesaikan pembayaran.

    5. Lihat spesifikasi fitur yang diperbarui di halaman Overview.

    2. Otorisasi DSC untuk mengakses sumber daya cloud

    Setelah otorisasi selesai, instans DSC dapat mengakses sumber daya layanan cloud seperti OSS, RDS, dan MaxCompute.

    1. Masuk ke Konsol Data Security Center.

    2. Di kotak dialog RAM Authorization, klik Authorize Now.

      Catatan

      Jika kotak dialog RAM Authorization tidak muncul, itu menunjukkan bahwa Anda sudah memberikan otorisasi DSC untuk mengakses sumber daya cloud.

    3. Otorisasi aset database

    Sebelum menggunakan DSC untuk mendeteksi data sensitif di produk cloud (termasuk RDS, PolarDB, dll.) atau mengaudit aktivitas database, otorisasi instans aset harus diselesaikan terlebih dahulu.

    1. Masuk ke Konsol Data Security Center. Di panel navigasi sisi kiri, pilih Asset Center.

    2. Pada tab Authorization Management, klik Asset Authorization Management.

    3. Di panel navigasi sisi kiri halaman Asset Authorization Management, pilih tipe data yang ingin diotorisasi, dan klik Asset synchronization.

      Catatan

      DSC secara otomatis menyinkronkan mereka ke daftar aset yang tidak diotorisasi. Setelah membeli instans DSC, tugas sinkronisasi daftar aset cloud dieksekusi segera setelah login pertama kali ke konsol, jadi tidak perlu melakukan sinkronisasi aset pada saat itu. DSC memindai aset data baru yang ditambahkan pada pukul 00:00 setiap hari dan Asset Center > Authorization Management > Asset Authorization Management > Asset synchronization. Pengguna yang sudah ada perlu melakukan langkah ini secara manual.

    4. Klik Actions di kolom Authorization dari aset target.

      Saat Anda perlu mengotorisasi beberapa aset sekaligus, pilih aset target dan klik Batch Authorize.

    4. Hubungkan ke database dan jalankan tugas identifikasi data sensitif

    1. Masuk ke Konsol Data Security Center, dan pilih Asset Center di panel navigasi sisi kiri.

    2. Di tab Authorization Management, klik Account Logon di kolom Tindakan dari instans aset target.

    3. Di panel Account Logon, klik Add Credential di kolom Tindakan dari database target.

    4. Di kotak dialog Add Credential, pilih kredensial, simpan atau kosongkan kotak centang Scan assets and identify sensitive data now. lalu klik OK.

      Jika Anda belum membuat kredensial, klik tab Create Credential di kotak dialog Add Credential, konfigurasikan Credential Name, Username, Password, dan Credential Type untuk kredensial login database, lalu klik OK.

      Penting

      • Jika Anda memilih Scan assets and identify sensitive data now., DSC secara otomatis membuat dan segera mengeksekusi tugas identifikasi default. Tugas ini membaca data dari database, yang dapat menurunkan performa baca database. Kami merekomendasikan agar Anda melakukan operasi koneksi satu klik selama jam non-puncak.

      • Jika Anda tidak memilih Scan assets and identify sensitive data now., Anda dapat pergi ke Classification and grading > Tasks di panel navigasi, dan klik Rescan di daftar Default Tasks pada tab Identification Tasks untuk mengeksekusi tugas default sistem secara manual.

    5. Klik ikon 展开图标 di sisi kiri instans database untuk melihat status koneksi dan status fitur database.

      image

    Aktifkan enkripsi kolom

    1. Masuk ke Konsol Data Security Center.Di panel navigasi sisi kiri, pilih Risk Governance > Column Encryption.

      Penting

      Kolom Encryption Check harus menampilkan Passed sebelum mengaktifkan dan mengonfigurasi enkripsi kolom untuk database yang sesuai. Jika menampilkan Failed, versi utama atau versi mesin minor database mungkin tidak mendukung fitur enkripsi kolom. Untuk informasi lebih lanjut, lihat FAQ dalam topik ini.

    2. Klik Rapid Encryption di atas daftar instans database untuk mengonfigurasi enkripsi kolom untuk semua kolom yang belum dienkripsi.

      Sebagai alternatif, Anda dapat mengklik Rapid Encryption di kolom Actions dari instans database target untuk mengonfigurasi enkripsi kolom untuk instans tersebut.

      image

    3. Di panel Encryption Configuration, pilih Asset Type, Instance name, Plaintext Permission Accounts, serta target Databases, Table, dan Column yang ingin dikonfigurasi untuk enkripsi kolom, lalu klik OK. Perhatikan hal-hal berikut:

      • RDS PostgreSQL hanya mendukung algoritma enkripsi AES-256-GCM dan metode enkripsi lokal.

      • Setelah konfigurasi enkripsi selesai, izin default untuk akun database RDS PostgreSQL adalah Ciphertext Permission (JDBC Decryption), yang memungkinkan akses ke data teks terenkripsi dari kolom terenkripsi secara default dan mendukung melihat data teks biasa setelah dekripsi menggunakan kunci lokal melalui kode klien.

      • Jika Anda perlu mengakses data teks biasa secara langsung, tambahkan akun database yang sesuai di bagian Plaintext Permission Accounts. Akun ini akan memiliki izin teks biasa dan dapat mengakses data teks biasa dari kolom terenkripsi secara langsung.

        Penting

        Jika Anda perlu mengklasifikasikan dan memberi peringkat data terbaru di database, akun database yang ditetapkan sebagai kredensial (akun database yang digunakan untuk menghubungkan DSC ke instans RDS PostgreSQL) harus memiliki izin teks biasa.

    Modifikasi konfigurasi enkripsi kolom

    Modifikasi ruang lingkup kolom terenkripsi

    Setelah mengaktifkan enkripsi kolom, Anda dapat mengaktifkan atau menonaktifkan fitur enkripsi kolom untuk kolom tertentu di instans database berdasarkan kebutuhan Anda, memodifikasi ruang lingkup kolom terenkripsi.

    1. Masuk ke Konsol Data Security Center.Di panel navigasi sisi kiri, pilih Risk Governance > Column Encryption.

    2. Di daftar instans, perluas instans target. Di daftar database, temukan nama Databases, Table, dan Column target. Klik Enable Encryption atau Disable Encryption untuk mengonfigurasi enkripsi untuk satu kolom.

      image

    Modifikasi izin akun database

    Kecuali untuk akun yang disetel ke Plaintext Permissions, semua akun lainnya di instans database memiliki Ciphertext Permission (JDBC Decryption). Berdasarkan kebutuhan bisnis Anda, Anda dapat memodifikasi izin akun menjadi Plaintext Permissions atau Ciphertext Permission (JDBC Decryption).

    1. Masuk ke Konsol Data Security Center.

    2. Di halaman Risk Governance > Column Encryption, klik Accounts di bagian Permission Settings.

      Anda juga dapat mengklik Edit di kolom Actions dari daftar instans, lalu klik Account Permissions di sebelah Edit di panel Configure.

    3. Di panel Permission Settings, cari instans target dan akun untuk melihat izin akun saat ini.

      Catatan

      Jika akun database baru yang ditambahkan tidak ditampilkan dalam daftar, harap selesaikan Asset synchronization terlebih dahulu, lalu periksa kembali.

    4. Klik Modify Permissions di kolom Actions dari akun target.

      Anda juga dapat memilih beberapa akun dengan izin yang sama dan klik Batch Modify Permissions di bagian bawah daftar.

    5. Di kotak dialog Modifikasi Izin, pilih izin target dan klik OK.

    Verifikasi hasil enkripsi kolom

    Anda dapat mengonfigurasi enkripsi kolom database dan izin akun database untuk memverifikasi hasil enkripsi kolom.

    1. Hubungkan instans database RDS PostgreSQL 16 ke DSC, selesaikan klasifikasi dan grading data sensitif, dan aktifkan enkripsi kolom untuk kolom tertentu di instans RDS (menggunakan kolom students01 di tabel birth_date sebagai contoh). Pada saat yang sama, atur satu akun database di instans RDS untuk memiliki Plaintext Permissions dan pertahankan akun lain dengan Ciphertext Permission (JDBC Decryption).image

    2. Masuk ke database menggunakan Layanan Manajemen Data (DMS) dengan akun yang memiliki Ciphertext Permission (JDBC Decryption). Jalankan pernyataan SELECT * FROM students01; untuk melihat tabel data. Kolom terenkripsi menampilkan data teks terenkripsi.image

    3. Masuk ke database menggunakan Layanan Manajemen Data (DMS) dengan akun yang memiliki Plaintext Permission. Jalankan pernyataan SELECT * FROM students01; untuk melihat tabel data. Data teks biasa dari kolom terenkripsi dikembalikan.image

    Petunjuk klien

    Jika akun database Anda memiliki Izin Teks Terenkripsi (Dekripsi JDBC), Anda dapat menggunakan driver enkripsi kolom (JDBC) untuk mengakses database RDS target dan mengakses data kolom terenkripsi melalui aplikasi Java. JDBC secara otomatis mendekripsi data teks terenkripsi dan mengembalikan data teks biasa, menjadikan proses ini transparan bagi aplikasi. Untuk informasi lebih lanjut, lihat Driver enkripsi kolom (JDBC).

    FAQ

    Apa yang harus saya lakukan jika instans RDS gagal dalam pemeriksaan enkripsi?

    Jika versi database RDS PostgreSQL yang diotorisasi bukan PostgreSQL 16, versi kernel lebih awal dari 20250228, atau instans merupakan instans baca saja, Failed ditampilkan di kolom Encryption Check.

    • Versi database tidak didukung

      Jika Anda yakin bahwa database RDS target memerlukan konfigurasi enkripsi kolom, Anda dapat mengunjungi Daftar instans RDS, temukan instans target, dan tingkatkan versi database. Untuk informasi lebih lanjut, lihat Tingkatkan versi mesin utama.

    • Versi mesin minor tidak didukung

      image

      Jika Anda yakin bahwa database RDS target memerlukan konfigurasi enkripsi kolom, Anda dapat mengklik Update Minor Engine Version, pilih Latest Version dan Update Time, lalu klik OK untuk memperbarui versi mesin minor. Untuk informasi lebih lanjut, lihat Perbarui versi mesin minor. Enkripsi kolom dapat diaktifkan untuk instans RDS hanya setelah versi mesin minor instans diperbarui.

      image

    • Instans baca saja

      Saat instans RDS baca saja sedang dibuat, sistem mereplikasi data dari instans RDS sekunder ke instans RDS baca saja. Setelah instans RDS baca saja dibuat, instans tersebut memiliki data yang sama dengan instans RDS utama. Jika data pada instans RDS utama diperbarui, sistem segera menyinkronkan pembaruan ke semua instans RDS baca saja yang terpasang pada instans RDS utama. Kami merekomendasikan agar Anda mengaktifkan fitur enkripsi kolom untuk instans RDS utama.

    Setelah versi ditingkatkan, kunjungi konsol DSC untuk menyinkronkan informasi instans terbaru.

    1. Di panel navigasi sisi kiri, pilih Asset Center, lalu di tab Authorization Management, klik Asset Authorization Management.

    2. Di panel navigasi sisi kiri panel Asset Authorization Management, klik jenis instans yang diperlukan.

    3. Di panel Asset Authorization Management, klik Asset Synchronization.

    Informasi terkait