Tablestore mendukung enkripsi data saat diam (at rest). Anda dapat menentukan metode enkripsi saat membuat tabel untuk memastikan keamanan data.
Informasi latar belakang
Key Management Service (KMS) adalah platform layanan end-to-end untuk manajemen kunci, enkripsi data, dan manajemen rahasia. KMS menyediakan kemampuan yang sederhana, andal, aman, dan sesuai standar untuk mengenkripsi serta melindungi data, serta mengelola rahasia. Dengan KMS, Anda dapat mengurangi biaya pengadaan, operasi dan pemeliharaan (O&M), serta penelitian dan pengembangan (R&D) pada infrastruktur kriptografi, produk enkripsi data, dan produk manajemen rahasia. Hal ini memungkinkan Anda fokus pada pengembangan bisnis.
Tablestore menyediakan dua metode enkripsi: enkripsi berbasis CMK KMS dan enkripsi berbasis Bring Your Own Key (BYOK). Kunci untuk kedua metode tersebut harus diperoleh dari KMS. Pilih metode enkripsi sesuai dengan kebutuhan bisnis Anda.
Enkripsi berbasis CMK KMS: Tablestore menggunakan kunci utama pelanggan (CMK) default untuk menghasilkan kunci layanan guna mengenkripsi data, serta secara otomatis mendekripsi data saat dibaca. Anda tidak perlu membeli atau membuat instance KMS saat menggunakan metode ini.
Enkripsi berbasis BYOK: Tablestore menggunakan kunci yang dilindungi perangkat lunak yang Anda buat dan host di KMS untuk mengenkripsi data. Sebelum menggunakan metode ini, Anda harus membuat kunci yang dilindungi perangkat lunak di konsol KMS dan membuat Peran RAM dengan izin enkripsi dan dekripsi untuk Tablestore agar dapat diasumsikan.
Catatan penggunaan
Fitur enkripsi data hanya dapat diaktifkan dan dikonfigurasi saat pembuatan tabel. Setelah tabel dibuat, fitur enkripsi data tidak dapat dinonaktifkan. Lanjutkan dengan hati-hati.
Fitur enkripsi data saat ini didukung di wilayah berikut: Tiongkok (Hangzhou), Tiongkok (Shanghai), Tiongkok (Beijing), Tiongkok (Zhangjiakou), Tiongkok (Ulanqab), Tiongkok (Shenzhen), Tiongkok (Hong Kong), Jepang (Tokyo), Singapura, Indonesia (Jakarta), Jerman (Frankfurt), Inggris (London), AS (Silicon Valley), dan AS (Virginia).
Metode enkripsi
Enkripsi berbasis CMK KMS
Saat menggunakan enkripsi berbasis CMK KMS, Anda tidak perlu membeli atau membuat instance KMS. Cukup aktifkan sakelar Encryption dan pilih CMK of KMS untuk parameter Encryption Type saat membuat tabel di konsol Tablestore.
Masuk ke konsol Tablestore.
Di bagian atas halaman, pilih wilayah.
Di halaman Overview, klik nama instance yang ingin Anda kelola atau klik Manage Instance di kolom Actions instance.
Di tab Instance Details, klik Create Table.
Di kotak dialog Create Table, konfigurasikan parameter.
Masukkan nama tabel dan konfigurasikan kunci utama.
Aktifkan sakelar Encryption dan pilih CMK of KMS untuk parameter Encryption Type.
Klik Create.
Setelah tabel dibuat, Anda dapat memeriksa apakah fitur enkripsi data diaktifkan dengan melakukan operasi berikut: Klik nama tabel dan periksa apakah nilai bidang Encryption di bagian Description tab Basic Information adalah Yes-CMK of KMS.
Enkripsi berbasis BYOK
Untuk menggunakan enkripsi berbasis BYOK, Anda harus memperoleh ID kunci dan ARN peran RAM sebelum membuat tabel.
ID Kunci: Tablestore menggunakan kunci ini untuk mengenkripsi dan mendekripsi data.
Masuk ke konsol KMS.
Klik Keys di panel navigasi kiri, pilih kunci dari daftar kunci, dan salin ID kunci. Anda juga dapat membuat kunci baru yang dilindungi perangkat lunak. Untuk informasi lebih lanjut, lihat Kelola kunci.
ARN Peran RAM: Tablestore memanggil KMS untuk mengenkripsi dan mendekripsi data dengan mengasumsikan peran RAM. Anda harus membuat peran RAM dan memberikan izin kepada peran RAM tersebut.
Buat peran RAM.
Masuk ke konsol RAM.
Pilih . Di halaman Roles, klik Create Role.
Pilih Cloud Service untuk parameter Principal Type, dan Tablestore / OTS untuk parameter Principal Name. Klik OK.
Di kotak dialog Create Role, masukkan nama peran di bidang Role Name, seperti TablestoreBYOK, dan klik OK. Ikuti petunjuk di layar untuk menyelesaikan verifikasi dan membuat peran.
Buat kebijakan kustom.
Masuk ke konsol RAM.
Pilih . Di halaman Policies, klik Create Policy.
Pilih tab JSON, masukkan skrip berikut, dan klik OK.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "*" ] } ] }Di kotak dialog Create Policy, masukkan nama kebijakan di bidang Policy Name, seperti TablestoreBYOKPolicy, dan klik OK.
Lampirkan kebijakan kustom ke peran RAM.
Masuk ke konsol RAM.
Pilih , dan klik Grant Permission di kolom Actions peran RAM.
Di panel Grant Permission, masukkan nama kebijakan untuk mencari di bagian Policy, pilih kebijakan kustom, dan klik Grant permissions untuk melampirkan kebijakan kustom ke peran RAM.
Peroleh ARN peran RAM.
Masuk ke konsol RAM.
Pilih . Di halaman Roles, klik nama peran.
Salin ARN peran RAM di bagian Basic Information.
Setelah Anda memperoleh ID kunci dan ARN peran RAM, Anda dapat membuat tabel yang dienkripsi menggunakan metode enkripsi berbasis BYOK di konsol Tablestore.
Masuk ke konsol Tablestore.
Di bagian atas halaman, pilih wilayah.
Di halaman Overview, klik nama instance atau klik Manage Instance di kolom Actions instance.
Di tab Instance Details, klik Create Table.
Dalam kotak dialog Create Table, konfigurasikan parameter-parameter yang diperlukan.
Masukkan nama tabel dan konfigurasikan kunci utama.
Aktifkan sakelar Encryption, pilih BYOK-based Key untuk parameter Encryption Type, dan masukkan ID kunci dan ARN peran RAM.
Klik Create.
Setelah tabel dibuat, Anda dapat memeriksa apakah fitur enkripsi data diaktifkan dengan melakukan operasi berikut: Klik nama tabel dan periksa apakah nilai bidang Encryption di bagian Description tab Basic Information adalah Yes-BYOK-based Key.
Integrasi pengembangan
Anda dapat menentukan metode enkripsi saat membuat tabel menggunakan Tablestore SDK for Java atau Tablestore SDK for Go.
Penagihan
Anda akan dikenakan biaya untuk enkripsi data oleh KMS. Untuk informasi lebih lanjut, lihat Penagihan.