TDE tidak dapat dinonaktifkan setelah diaktifkan. Tinjau Batasan sebelum melanjutkan.
Enkripsi Data Transparan (TDE) mengenkripsi file Redis Database (RDB) sebelum ditulis ke disk dan mendekripsinya saat dimuat kembali ke memori. Mengaktifkan TDE memberikan perlindungan terhadap data-at-rest tanpa meningkatkan penggunaan penyimpanan atau memerlukan perubahan pada aplikasi klien Anda.
Instans yang didukung
TDE hanya didukung pada tipe instans berikut:
Tipe instans: Tair (Edisi Perusahaan) optimasi memori
Mode penyimpanan: Mode Classic (disk lokal)
Versi minor: 1.7.1 atau lebih baru
Untuk memeriksa atau memperbarui versi minor, lihat Perbarui versi minor sebuah instans.
Cara kerja
TDE mengenkripsi file data RDB saat ditulis ke disk dan mendekripsinya saat dimuat kembali ke memori. Kunci enkripsi dihasilkan dan dikelola oleh Key Management Service (KMS). Tair tidak menyediakan kunci atau sertifikat yang diperlukan untuk enkripsi.
Apa yang dienkripsi oleh TDE:
File cadangan RDB yang ditulis ke disk (misalnya,
dump.rdb)
Apa yang tidak dienkripsi oleh TDE:
Data di memori — ketika klien melakukan kueri data, respons berupa teks biasa karena pembacaan berasal dari memori, bukan disk
TDE diterapkan pada tingkat instans. Fitur ini tidak dapat diaktifkan untuk kunci atau database tertentu dalam sebuah instans.
Batasan
Mengaktifkan TDE secara permanen mengubah cara instans beroperasi. Setelah TDE diaktifkan:
Migrasi lintas zona diblokir. Instans tidak dapat dimigrasikan antar zona. Untuk detailnya, lihat Migrasi instans antar zona.
Analisis kunci offline tidak tersedia. Fitur analisis kunci offline tidak didukung untuk instans yang telah diaktifkan TDE. Untuk detailnya, lihat Analisis kunci offline.
Tidak dapat bergabung ke instans terdistribusi. Instans tidak dapat dikonversi menjadi instans anak dari instans terdistribusi. Untuk detailnya, lihat Buat instans terdistribusi.
Migrasi dan sinkronisasi DTS diblokir. Instans tidak dapat dimigrasikan atau disinkronkan menggunakan Data Transmission Service (DTS).
Pemulihan dari keranjang daur ulang tidak tersedia. Instans yang telah diaktifkan TDE tidak dapat dipulihkan dari keranjang daur ulang.
Pilih tipe kunci
Sebelum mengaktifkan TDE, tentukan tipe kunci yang akan digunakan:
| Jenis kunci | Deskripsi | Kapan digunakan |
|---|---|---|
| Automatically generated key | KMS menghasilkan dan mengelola kunci tersebut untuk Anda. | Cocok untuk sebagian besar kasus penggunaan—tanpa beban tambahan dalam manajemen kunci. |
| Custom key | Anda menyediakan kunci yang dibuat di KMS. | Gunakan ketika kebijakan keamanan Anda mengharuskan Anda mengontrol dan memutar kunci enkripsi sendiri. |
Untuk membuat kunci kustom, lihat Buat kunci dalam dokumentasi KMS.
Aktifkan TDE
Masuk ke Konsol dan buka halaman Instans. Di bilah navigasi atas, pilih wilayah tempat instans dideploy. Temukan instans tersebut dan klik ID-nya.
Di panel navigasi kiri, klik TDE Settings.
Aktifkan sakelar di samping TDE Status.
Jika sakelar tampak redup, instans menjalankan versi minor yang lebih lama. Perbarui versi minor terlebih dahulu. Untuk detailnya, lihat Perbarui versi minor dan versi proxy.
Di kotak dialog, pilih Use Automatically Generated Key atau Use Custom Key, lalu klik OK.
Jika ini pertama kalinya Anda mengaktifkan TDE untuk sebuah instans dalam Akun Alibaba Cloud Anda, ikuti instruksi di halaman untuk menetapkan role AliyunRdsInstanceEncryptionDefaultRole. Setelah otorisasi selesai, layanan kunci KMS menjadi tersedia.
Status instans berubah menjadi Modifying TDE. Saat status berubah menjadi In operation, TDE telah diaktifkan.
FAQ
Apakah saya bisa mendekripsi file cadangan RDB yang telah saya unduh?
Tidak. File cadangan RDB yang diunduh tidak dapat didekripsi secara langsung. Untuk mengakses datanya, pulihkan set cadangan tersebut ke instans baru — data akan didekripsi secara otomatis setelah pemulihan.
Mengapa data yang dikueri oleh klien muncul dalam bentuk teks biasa?
TDE hanya mengenkripsi file data di disk (file cadangan RDB). Saat Anda melakukan kueri data, sistem membaca dari memori yang tidak dienkripsi, sehingga respons berupa teks biasa.
Referensi API
| Operasi API | Deskripsi |
|---|---|
| ModifyInstanceTDE | Mengaktifkan TDE untuk sebuah instans menggunakan kunci yang dihasilkan secara otomatis atau kunci kustom |
| DescribeInstanceTDEStatus | Memeriksa apakah TDE diaktifkan untuk sebuah instans |
| DescribeEncryptionKeyList | Menampilkan daftar kunci kustom yang tersedia untuk TDE pada sebuah instans |
| DescribeEncryptionKey | Mendapatkan detail kunci kustom yang tersedia untuk TDE pada sebuah instans |
| CheckCloudResourceAuthorized | Memeriksa apakah instans telah diotorisasi untuk menggunakan KMS |