Tair (Redis OSS-compatible) menyediakan fitur enkripsi data transparan (TDE). Fitur ini memungkinkan Anda mengenkripsi dan mendekripsi file Redis Database (RDB). Anda dapat mengaktifkan TDE di Konsol untuk memungkinkan sistem mengenkripsi dan mendekripsi file RDB, meningkatkan keamanan dan kepatuhan data.
Prasyarat
Instans tersebut adalah instans Tair (Edisi Perusahaan) yang dioptimalkan untuk memori.
Instans tersebut diterapkan dalam mode klasik (disk lokal).
Versi minor dari instans adalah 1.7.1 atau lebih baru. Untuk informasi tentang cara memperbarui versi minor, lihat Perbarui versi minor dari sebuah instans.
Informasi latar belakang
Tair (Redis OSS-compatible) fitur TDE mengenkripsi file data RDB sebelum ditulis ke disk dan mendekripsinya saat dibaca dari disk ke memori. TDE tidak meningkatkan penggunaan ruang penyimpanan dan tidak memerlukan perubahan pada aplikasi klien.
Dampak
Anda tidak dapat menonaktifkan TDE setelah diaktifkan. Evaluasi dampak terhadap bisnis Anda sebelum mengaktifkan TDE. Berikut beberapa dampak yang perlu diperhatikan:
Setelah TDE diaktifkan untuk sebuah instans, instans tersebut tidak dapat dipindahkan antar zona. Untuk informasi lebih lanjut, lihat Pindahkan instans antar zona.
Setelah TDE diaktifkan untuk sebuah instans, fitur analisis kunci offline tidak didukung untuk instans tersebut. Untuk informasi lebih lanjut, lihat Analisis kunci offline.
Setelah TDE diaktifkan untuk sebuah instans, instans tersebut tidak dapat diubah menjadi instans anak dari instans terdistribusi. Untuk informasi lebih lanjut, lihat Buat instans terdistribusi.
Setelah TDE diaktifkan untuk sebuah instans, instans tersebut tidak dapat dipindahkan atau disinkronkan menggunakan Layanan Transmisi Data (DTS).
Tindakan pencegahan
TDE dapat diaktifkan untuk sebuah instans tetapi tidak untuk kunci atau database tertentu.
TDE mengenkripsi file data yang ditulis ke disk (file cadangan RDB seperti dump.rdb).
Kunci yang digunakan oleh TDE dihasilkan dan dikelola oleh Key Management Service (KMS). Tair (Redis OSS-compatible) tidak menyediakan kunci atau sertifikat yang diperlukan untuk enkripsi.
Instans yang telah diaktifkan TDE tidak dapat dipulihkan dari keranjang daur ulang.
Prosedur
Masuk ke Konsol dan buka halaman Instans. Di bilah navigasi atas, pilih wilayah tempat instans diterapkan. Kemudian, temukan instans dan klik ID-nya.
Di panel navigasi di sebelah kiri, klik TDE Settings.
Nyalakan sakelar di sebelah TDE Status.
CatatanJika versi minor yang lebih lama digunakan, sakelar akan redup. Untuk informasi tentang cara melihat dan memperbarui versi minor dari sebuah instans, lihat Perbarui versi minor dan versi proxy.
Di kotak dialog yang muncul, pilih Use Automatically Generated Key atau Use Custom Key, lalu klik OK.
Gambar 2. Pilih jenis kunci untuk mengaktifkan TDE
CatatanPertama kali Anda mengaktifkan TDE untuk sebuah instans dalam Akun Alibaba Cloud Anda, ikuti petunjuk di halaman untuk menetapkan peran AliyunRdsInstanceEncryptionDefaultRole. Setelah otorisasi selesai, Anda dapat menggunakan layanan kunci terkait.
Untuk informasi tentang cara membuat kunci kustom, lihat Buat kunci.
Setelah pengaturan selesai, status instans berubah menjadi Modifying TDE. Saat status instans berubah menjadi In operation, operasi selesai.
Operasi API terkait
Operasi API | Deskripsi |
Mengaktifkan TDE untuk sebuah instans. Anda dapat menggunakan kunci yang dihasilkan secara otomatis atau kunci kustom yang sudah ada. | |
Memeriksa apakah TDE diaktifkan untuk sebuah instans. | |
Memeriksa kunci kustom yang tersedia untuk sebuah instans guna menggunakan TDE. | |
Memeriksa detail kunci kustom yang tersedia untuk sebuah instans guna menggunakan TDE. | |
Memeriksa apakah instans memiliki otorisasi untuk menggunakan KMS. |
FAQ
Bagaimana cara mendekripsi file data RDB terenkripsi yang telah saya unduh?
Saat ini, Anda tidak dapat mendekripsinya. Anda dapat memulihkan set cadangan ke instans baru. Setelah pemulihan selesai, data secara otomatis didekripsi.
Mengapa data yang dibaca oleh klien masih ditampilkan dalam teks biasa?
Hanya file data yang ditulis ke disk (file cadangan RDB) yang dienkripsi. Saat melakukan kueri data, sistem membaca dari memori (yang tidak dienkripsi), sehingga data ditampilkan dalam teks biasa.