Tair (Redis OSS-compatible) mendukung transparent data encryption (TDE), yang mengenkripsi dan mendekripsi file data RDB. Anda dapat mengaktifkan TDE di Konsol untuk secara otomatis mengenkripsi dan mendekripsi data RDB guna meningkatkan keamanan data dan memenuhi persyaratan kepatuhan.
Prasyarat
-
Instans harus merupakan instans Tair (Enterprise Edition) yang dioptimalkan memori.
-
Versi instans harus berada dalam rentang yang didukung. Untuk petunjuk pembaruan versi minor, lihat Perbarui versi minor instans.
-
Untuk instans classic, versi minor harus 1.7.1 atau lebih baru.
-
Untuk instans cloud-native, versi utama harus 6.0 atau lebih baru dan versi minor harus 25.12.2.0 atau lebih baru.
-
Latar Belakang
Fitur TDE untuk Tair (Redis OSS-compatible) mengenkripsi file data RDB sebelum menuliskannya ke disk dan mendekripsinya saat membacanya ke memori. Fitur ini tidak memerlukan ruang penyimpanan tambahan atau perubahan pada aplikasi klien Anda.
Dampak
Setelah diaktifkan, TDE tidak dapat dinonaktifkan. Sebelum mengaktifkan fitur ini, evaluasi dampak berikut terhadap layanan Anda:
Instans cloud-native
-
Anda dapat mengonversi instans menjadi instans global multi-active.
-
Anda dapat menggunakan DTS untuk melakukan sinkronisasi data penuh dan inkremental.
-
Anda dapat migrasi zona ketersediaan.
-
Analisis kunci penuh offline tidak didukung.
-
Anda tidak dapat memulihkan instans yang telah diaktifkan TDE dari Keranjang daur ulang.
Instans classic
-
Migrasi zona ketersediaan tidak didukung.
-
Analisis kunci penuh offline tidak didukung.
-
Konversi menjadi instans global multi-active tidak didukung.
-
Migrasi atau sinkronisasi data menggunakan DTS tidak didukung.
Catatan
-
Anda tidak dapat mengontrol TDE pada tingkat kunci atau database (DB).
-
TDE mengenkripsi file persistensi data (file cadangan RDB), seperti dump.rdb.
-
Key Management Service (KMS) menghasilkan dan mengelola kunci yang digunakan untuk TDE. Tair (Redis OSS-compatible) tidak menyediakan kunci atau Sertifikat yang diperlukan untuk enkripsi.
-
Anda tidak dapat memulihkan instans yang telah diaktifkan TDE dari Keranjang daur ulang.
Prosedur
Masuk ke Konsol dan buka halaman Instances. Di bilah navigasi atas, pilih wilayah tempat instans dideploy. Lalu, temukan instans tersebut dan klik ID-nya.
-
Di panel navigasi kiri, klik TDE Settings.
-
Aktifkan sakelar di samping TDE Status.
CatatanJika versi minor instans lebih lama dari versi yang dipersyaratkan, sakelar akan dinonaktifkan. Untuk petunjuk melihat dan memperbarui versi minor, lihat Perbarui versi minor dan versi proxy instans.
-
Di kotak dialog yang muncul, pilih Use Automatically Generated Key atau Use Custom Key, lalu klik OK.
CatatanPertama kali Anda mengaktifkan TDE, Anda harus mengotorisasi peran AliyunRdsInstanceEncryptionDefaultRole.
Untuk mempelajari cara membuat kunci kustom, lihat Key Management Service (KMS).
Setelah Anda mengonfigurasi pengaturan, status instans berubah menjadi Modifying TDE. Operasi selesai ketika status berubah menjadi Running.
Referensi API
|
API |
Deskripsi |
|
Mengaktifkan TDE untuk suatu instans. Anda dapat menggunakan kunci yang dihasilkan secara otomatis atau kunci kustom. |
|
|
Memeriksa apakah TDE diaktifkan untuk suatu instans. |
|
|
Menampilkan daftar kunci kustom yang tersedia untuk TDE. |
|
|
Mengambil detail kunci kustom yang digunakan untuk TDE. |
|
|
Memeriksa apakah instans telah diotorisasi untuk menggunakan Key Management Service (KMS). |
FAQ
-
Q: Bagaimana cara mendekripsi file data RDB terenkripsi yang telah saya unduh?
A: Anda tidak dapat mendekripsinya secara langsung. Sebagai gantinya, pulihkan set cadangan tersebut ke instans baru. Setelah pemulihan, data akan secara otomatis didekripsi.
-
Q: Mengapa data yang diambil oleh klien saya ditampilkan dalam teks biasa?
A: TDE hanya mengenkripsi data saat ditulis ke disk sebagai file cadangan RDB. Kueri klien membaca data dari memori, dan data di memori tidak dienkripsi. Oleh karena itu, data muncul dalam teks biasa.