Fitur enkripsi data Tablestore - Tablestore - Alibaba Cloud Documentation Center

Tablestore mendukung enkripsi saat data tidak aktif (encryption at rest) untuk melindungi data sensitif yang disimpan dalam tabel. Aktifkan enkripsi saat membuat tabel dengan memilih metode berbasis Key Management Service (KMS) atau Bring Your Own Key (BYOK).

Cara kerja

Semua kunci enkripsi berasal dari Key Management Service (KMS), yang menyediakan manajemen kunci end-to-end, enkripsi data, dan manajemen rahasia.

Tablestore mendukung dua metode enkripsi:

Enkripsi berbasis CMK KMS: Tablestore menggunakan customer master key (CMK) default untuk menghasilkan kunci layanan guna mengenkripsi dan mendekripsi data secara otomatis. Tidak diperlukan pembelian instans KMS.
Enkripsi berbasis Bring Your Own Key (BYOK): Tablestore menggunakan kunci yang dilindungi perangkat lunak yang Anda buat dan kelola di KMS. Sebelum membuat tabel dengan metode ini, Anda harus membuat kunci yang dilindungi perangkat lunak di Konsol KMS serta membuat RAM role dengan izin enkripsi dan dekripsi agar dapat diasumsikan oleh Tablestore.

Wilayah yang didukung dan batasan

Enkripsi hanya dapat diaktifkan saat pembuatan tabel dan tidak dapat dinonaktifkan setelah tabel dibuat. Lakukan dengan hati-hati.
Enkripsi data didukung di wilayah berikut: China (Hangzhou), China (Shanghai), China (Beijing), China (Zhangjiakou), China (Ulanqab), China (Shenzhen), China (Hong Kong), Jepang (Tokyo), Singapura, Indonesia (Jakarta), Jerman (Frankfurt), Inggris (London), AS (Silicon Valley), dan AS (Virginia).

Aktifkan enkripsi data

Gunakan enkripsi berbasis CMK KMS

Dengan enkripsi berbasis CMK KMS, tidak diperlukan pembelian instans KMS. Aktifkan sakelar Encryption dan pilih CMK of KMS sebagai Encryption Type saat membuat tabel.

Masuk ke Konsol Tablestore.
Di bagian atas halaman, pilih wilayah.
Pada halaman Overview, klik nama instans atau klik Manage Instance di kolom Actions.
Pada tab Instance Details, klik Create Table.
Pada kotak dialog Create Table, konfigurasikan parameter.
1. Masukkan nama tabel dan konfigurasikan primary key.
2. Aktifkan sakelar Encryption dan pilih CMK of KMS untuk parameter Encryption Type. Tablestore menggunakan CMK default untuk menghasilkan kunci layanan—tidak diperlukan instans KMS tambahan.
Klik Create.

Untuk memverifikasi bahwa enkripsi telah diaktifkan, klik nama tabel dan pastikan bidang Encryption pada bagian Description di tab Basic Information menampilkan Yes-CMK of KMS.

Gunakan enkripsi berbasis BYOK

Enkripsi berbasis BYOK memerlukan ID kunci dan ARN RAM role sebelum Anda membuat tabel. Selesaikan prasyarat berikut terlebih dahulu.

Prasyarat

Dapatkan ID kunci: Tablestore menggunakan kunci ini untuk mengenkripsi dan mendekripsi data Anda.
1. Masuk ke Konsol KMS.
2. Klik Keys di panel navigasi kiri, pilih kunci yang dilindungi perangkat lunak yang sudah ada dari daftar, lalu salin ID kuncinya. Untuk membuat kunci baru, lihat Manage keys.
Dapatkan ARN RAM role: Tablestore memanggil KMS dengan mengasumsikan RAM role. Buat role dan berikan izin yang diperlukan.
1. Buat RAM role.
  1. Masuk ke Konsol RAM.
  2. Pilih Identities > Roles. Pada halaman Roles, klik Create Role.
  3. Atur Principal Type menjadi Cloud Service dan Principal Name menjadi Tablestore / OTS. Klik OK.
  4. Pada kotak dialog Create Role, masukkan nama role di bidang Role Name, misalnya TablestoreBYOK, lalu klik OK. Ikuti petunjuk di layar untuk menyelesaikan verifikasi dan membuat role.
2. Buat kebijakan kustom.
  1. Masuk ke Konsol RAM.
  2. Pilih Permissions > Policies. Pada halaman Policies, klik Create Policy.
  3. Pilih tab JSON, masukkan konten kebijakan berikut, lalu klik OK.
```
{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```
  4. Pada kotak dialog Create Policy, masukkan nama kebijakan di bidang Policy Name, misalnya TablestoreBYOKPolicy, lalu klik OK.
3. Lampirkan kebijakan kustom ke RAM role.
  1. Masuk ke Konsol RAM.
  2. Pilih Identities > Roles, lalu klik Grant Permission di kolom Actions pada RAM role tersebut.
  3. Pada panel Grant Permission, cari nama kebijakan di bagian Policy, pilih kebijakan kustom tersebut, lalu klik Grant permissions.
4. Salin ARN RAM role.
  1. Masuk ke Konsol RAM.
  2. Pilih Identities > Roles. Pada halaman Roles, klik nama role tersebut.
  3. Salin ARN dari bagian Basic Information.

Buat tabel terenkripsi

Setelah Anda memiliki ID kunci dan ARN RAM role, buat tabel terenkripsi BYOK di Konsol Tablestore.

Masuk ke Konsol Tablestore.
Di bagian atas halaman, pilih wilayah.
Pada halaman Overview, klik nama instans atau klik Manage Instance di kolom Actions.
Pada tab Instance Details, klik Create Table.
Pada kotak dialog Create Table, konfigurasikan parameter.
1. Masukkan nama tabel dan konfigurasikan primary key.
2. Aktifkan sakelar Encryption, pilih BYOK-based Key untuk parameter Encryption Type, lalu masukkan ID kunci dan ARN RAM role yang telah Anda peroleh pada prasyarat.
Klik Create.

Untuk memverifikasi bahwa enkripsi telah diaktifkan, klik nama tabel dan pastikan bidang Encryption pada bagian Description di tab Basic Information menampilkan Yes-BYOK-based Key.

Pembuatan tabel secara terprogram

Gunakan Tablestore SDK for Java atau Tablestore SDK for Go untuk menentukan metode enkripsi saat membuat tabel data secara terprogram.

Penagihan

Biaya KMS berlaku untuk enkripsi data. Untuk detail harga, lihat Billing.

Tablestore:Enkripsi data