All Products
Search

This Product

    Simple Log Service:Enkripsi Data

    Document Center

    Simple Log Service:Enkripsi Data

    Last Updated:Dec 01, 2025

    Layanan Log Sederhana memungkinkan Anda menggunakan Key Management Service (KMS) untuk mengenkripsi data demi penyimpanan yang aman. Perlindungan data statis disediakan. Topik ini menjelaskan mekanisme enkripsi data Layanan Log Sederhana dan cara menggunakan KMS untuk mengenkripsi data.

    Prasyarat

    KMS telah diaktifkan. Untuk informasi lebih lanjut, lihat Beli instance KMS khusus.

    Mekanisme enkripsi data

    Layanan Log Sederhana mendukung metode berikut untuk mengenkripsi data:

    Gunakan kunci layanan Layanan Log Sederhana

    Karakteristik:

    • Kemudahan Penggunaan: Layanan Log Sederhana sepenuhnya bertanggung jawab atas enkripsi data dan manajemen kunci. Tidak diperlukan operasi tambahan, sehingga mengurangi beban manajemen pengguna.

    • Independensi Kunci: Kunci enkripsi data independen dihasilkan untuk setiap Logstore, meningkatkan keamanan data.

    • Ketahanan: Kunci enkripsi data tidak kedaluwarsa, memastikan enkripsi data stabil dan tahan lama.

    • Algoritma Enkripsi Data yang Didukung: Standar Enkripsi Lanjutan (AES) dan SM4. Secara default, algoritma AES digunakan.

    Skenario:

    • Anda ingin menerapkan enkripsi data secara efisien tanpa perlu mengelola kunci.

    • Anda tidak memiliki persyaratan khusus untuk manajemen kunci dan ingin penyedia layanan mengelola kunci.

    • Anda ingin memastikan validitas jangka panjang dan stabilitas kunci enkripsi data.

    Pelanggan yang Ditargetkan:

    Metode ini cocok untuk usaha kecil dan pengguna individu yang tidak ingin melakukan tugas manajemen kunci yang kompleks dan hanya ingin mengenkripsi data dengan cara yang aman dan sederhana.

    Gunakan fitur Bring Your Own Key (BYOK)

    Karakteristik:

    • Kontrol: Anda dapat memiliki kontrol penuh atas manajemen siklus hidup kunci, termasuk membuat, memutar, dan menghapus kunci.

    • Fleksibilitas: Anda dapat dengan mudah memperbarui atau mengganti kunci sesuai kebutuhan bisnis, meningkatkan keamanan data dan fleksibilitas.

    • Proaktif: Anda harus proaktif dalam mengelola kunci. Misalnya, Anda harus membuat Customer Master Key (CMK) dan memberikan izin kepada pengguna untuk menggunakan CMK di Konsol KMS.

    Skenario:

    • Organisasi memiliki persyaratan kepatuhan keamanan yang ketat dan ingin mengelola kunci enkripsi data.

    • Anda ingin mengelola dan memutar kunci enkripsi data untuk memenuhi persyaratan keamanan tinggi.

    • Anda ingin mengganti atau menghapus kunci secara efisien untuk melindungi keamanan data jika terjadi kebocoran kunci atau risiko lainnya.

    Pelanggan yang Ditargetkan:

    Metode ini cocok untuk perusahaan besar atau lembaga keuangan yang memiliki persyaratan ketat untuk perlindungan data dan kepatuhan, ingin menggunakan kebijakan manajemen kunci kustom, serta memiliki tim pendukung khusus untuk mengelola kunci.

    Penting

    Jika CMK Anda dihapus atau dinonaktifkan, kunci BYOK terkait menjadi tidak valid.

    Jika CMK Anda menjadi tidak valid, semua permintaan baca dan tulis ke Logstore terkait akan gagal.

    Batasan

    Setelah menentukan metode enkripsi data saat mengonfigurasi pengaturan enkripsi, Anda tidak dapat beralih ke metode lain. Selain itu, Anda tidak dapat mengubah algoritma enkripsi atau jenis enkripsi. Anda hanya dapat mengaktifkan atau menonaktifkan fitur enkripsi menggunakan parameter enable. Parameter encrypt_conf harus disertakan setiap kali Anda memperbarui Logstore.

    Sebagai contoh, jika Anda menentukan metode enkripsi berdasarkan kunci layanan Layanan Log Sederhana saat konfigurasi awal, Anda tidak dapat beralih ke metode enkripsi berdasarkan fitur BYOK setelahnya.

    Gunakan kunci layanan Layanan Log Sederhana untuk enkripsi

    Saat memanggil operasi CreateLogStore untuk membuat Logstore atau UpdateLogStore untuk memodifikasi Logstore, tambahkan parameter encrypt_conf untuk mengonfigurasi pengaturan enkripsi. Untuk informasi lebih lanjut, lihat CreateLogStore atau UpdateLogStore.

    Tabel berikut menjelaskan bidang dalam parameter encrypt_conf. Jangan tentukan bidang user_cmk_info.

    Parameter

    Tipe

    Deskripsi

    Contoh

    objek

    Struktur data dari konfigurasi enkripsi.

    enable

    boolean

    Menentukan apakah akan mengaktifkan enkripsi data. Nilai yang valid:

    • true

    • false

    true

    encrypt_type

    string

    Algoritma enkripsi. Nilai yang valid: default dan sm4. Jika enable diatur ke true, Anda harus mengonfigurasi parameter ini.

    default

    user_cmk_info

    EncryptUserCmkConf

    Opsional. Jika Anda mengonfigurasi parameter ini, kunci bring-your-own-key (BYOK) digunakan. Jika Anda tidak mengonfigurasi parameter ini, kunci layanan Layanan Log Sederhana digunakan.

    { "cmk_key_id" : "f5136b95-2420-ab31-xxxxxxxxx" "arn" : "acs:ram::13234:role/logsource" "region_id" : "cn-hangzhou" }

    Gunakan fitur BYOK untuk enkripsi

    Prasyarat

    KMS telah diaktifkan. Untuk informasi lebih lanjut, lihat Beli Instance KMS Khusus.

    Langkah 1: Selesaikan otorisasi

    Sebelum menggunakan metode enkripsi ini, Anda harus mengotorisasi Layanan Log Sederhana untuk mengakses KMS.

    1. Masuk ke Konsol Resource Access Management (RAM).

    2. Buat Peran RAM dengan entitas tepercaya sebagai layanan Alibaba Cloud sesuai gambar berikut.

      image

    3. Berikan izin AliyunKMSReadOnlyAccess dan AliyunKMSCryptoUserAccess kepada Peran RAM. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Peran RAM.

      授权

    4. Jika Anda menggunakan pengguna RAM untuk mengenkripsi data, Anda harus membuat kebijakan kustom dan memberikan izin kepada pengguna RAM.

      Dalam kebijakan berikut, ganti <role-name> di elemen Resource dengan Nama Sumber Daya Alibaba Cloud (ARN) dari Peran RAM yang dibuat. Untuk informasi lebih lanjut tentang cara melihat ARN Peran RAM, lihat Bagaimana Cara Melihat ARN Peran RAM?

      {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ram:PassRole",
            "Resource": "acs:ram::<account-id>:role/<role-name>"  
        }
    ]
}

    Langkah 2: Konfigurasikan pengaturan enkripsi data

    Penting

    Setelah mengonfigurasi pengaturan enkripsi data, Anda tidak dapat mengubah algoritma enkripsi atau jenis enkripsi. Anda hanya dapat mengaktifkan atau menonaktifkan fitur enkripsi menggunakan parameter enable. Parameter encrypt_conf harus disertakan setiap kali Anda memperbarui Logstore.

    Untuk Logstore yang sudah ada, panggil operasi UpdateLogStore dan sertakan parameter encrypt_conf untuk mengonfigurasi pengaturan enkripsi data.

    Sebelum memanggil operasi UpdateLogStore, Anda harus memanggil operasi GetLogStore untuk mendapatkan konfigurasi asli Logstore. Setelah memodifikasi konfigurasi, tambahkan konfigurasi baru ke operasi UpdateLogStore.

    Tabel berikut menjelaskan bidang dalam parameter encrypt_conf. Bidang user_cmk_info wajib.

    Parameter

    Tipe

    Deskripsi

    Contoh

    objek

    Struktur data dari konfigurasi enkripsi.

    enable

    boolean

    Menentukan apakah akan mengaktifkan enkripsi data. Nilai yang valid:

    • true

    • false

    true

    encrypt_type

    string

    Algoritma enkripsi. Nilai yang valid: default dan sm4. Jika enable diatur ke true, Anda harus mengonfigurasi parameter ini.

    default

    user_cmk_info

    EncryptUserCmkConf

    Opsional. Jika Anda mengonfigurasi parameter ini, kunci bring-your-own-key (BYOK) digunakan. Jika Anda tidak mengonfigurasi parameter ini, kunci layanan Layanan Log Sederhana digunakan.

    { "cmk_key_id" : "f5136b95-2420-ab31-xxxxxxxxx" "arn" : "acs:ram::13234:role/logsource" "region_id" : "cn-hangzhou" }

    Struktur data EncryptUserCmkConf

    Parameter

    Tipe

    Deskripsi

    Contoh

    cmk_key_id

    string

    ID kunci master pelanggan (CMK) jika Anda menggunakan kunci bring-your-own-key (BYOK).

    f5136b95-2420-ab31-xxxxxxxxx

    arn

    string

    ARN Peran RAM yang dibuat di Langkah 1.

    acs:ram::13234:role/logsource

    region_id

    string

    ID wilayah tempat CMK berada.

    cn-hangzhou

    Parameter

    Tipe

    Deskripsi

    Contoh

    objek

    Struktur data konfigurasi enkripsi yang ditentukan pengguna.

    cmk_key_id

    string

    ID kunci master pelanggan (CMK) jika Anda menggunakan kunci bring-your-own-key (BYOK).

    f5136b95-2420-ab31-xxxxxxxxx

    arn

    string

    Alibaba Cloud Resource Name (ARN) dari Peran Resource Access Management (RAM).

    acs:ram::13234:role/logsource

    region_id

    string

    ID wilayah tempat CMK berada.

    cn-hangzhou

    encrypt_conf = {
    "enable" : True,                 # Menentukan apakah akan mengaktifkan enkripsi data. 
    "encrypt_type" : "default",      # Algoritma enkripsi. Nilai yang valid: default dan m4. 
    "user_cmk_info" :                # Opsional. Jika Anda mengonfigurasi bidang ini, kunci BYOK digunakan. Jika Anda tidak mengonfigurasi bidang ini, kunci layanan Layanan Log Sederhana digunakan. 
    {
          "cmk_key_id" : ""          # ID CMK tempat kunci BYOK milik. Contoh: f5136b95-2420-ab31-xxxxxxxxx. 
          "arn" :  ""                # ARN Peran RAM yang dibuat di Langkah 1. 
          "region_id" : ""           # ID wilayah tempat CMK berada. 
    }
}

    Referensi

    Untuk informasi lebih lanjut, lihat operasi berikut dari Layanan Log Sederhana: