全部產品
Search

搜尋本產品

    MaxCompute:儲存加密

    文件中心

    MaxCompute:儲存加密

    更新時間:Dec 05, 2025

    當MaxCompute專案中存有敏感資訊如個人識別資訊、財務記錄、健康記錄等,開啟資料存放區加密可保護這些資料不被未授權者訪問。MaxCompute支援通過Key Management Service(Key Management Service)對資料進行加密儲存,提供資料靜態保護能力,滿足企業監管和安全合規需求。

    儲存加密機制

    MaxCompute通過KMS託管密鑰,實現資料存放區加密或解密功能。資料存放區加密機制如下:

    • MaxCompute以專案為單位,通過KMS加密或解密儲存在MaxCompute的資料。

    • KMS產生和管理主要金鑰CMK(Customer Master Key),並保障密鑰的安全性。

    • MaxCompute支援的密碼編譯演算法為AES256、AESCTR和RC4。

    • MaxCompute支援通過預設密鑰(MaxCompute Default Key)和內建密鑰(BYOK)加密或解密資料。

      • 預設密鑰(MaxCompute Default Key)

        • MaxCompute會在KMS上自動建立1個密鑰作為CMK。可以通過KMS控制台查看自動建立的密鑰資訊。

      • 為滿足不同情境的業務和安全需求,MaxCompute支援通過內建密鑰(BYOK)加密或解密資料。

        • 通過內建密鑰(BYOK)加密或解密資料時,需要手動開通KMS並CreateKey,即內建密鑰(BYOK)。

        • 並根據介面提示,完成RAM授權,以便MaxCompute可以正常建立使用內建密鑰(BYOK)的專案空間。

    • MaxCompute支援通過RAM自訂權限原則管控建立專案是否加密,策略內容詳情請參見權限原則

    適用範圍

    • 如果使用內建密鑰(BYOK)加密或解密資料,需要在當前MaxCompute專案所在地區開通KMS。

    • Hologres外部表格訪問MaxCompute的情境中,Hologres需為V1.1及以上版本,需為Hologres授予KMS許可權,BYOK僅支援使用上海Region的KMS,詳情請參見查詢MaxCompute加密資料

    • 在KMS上對內建密鑰(BYOK)的操作(例如禁用或刪除),會影響MaxCompute對資料的加密或解密操作。由於MaxCompute服務涉及緩衝,在KMS的相關操作會在24小時內生效。

    • 目前不支援對已經建立的專案變更儲存加密功能,如關閉儲存加密功能或更改儲存加密的演算法。

    • 存量專案新開通儲存加密,不會自動對存量資料進行加密(不影響正常讀寫操作),如果需要對存量資料加密,需要手工讀出資料再寫入。

    費用說明

    MaxCompute自身的資料存放區加密功能不收取費用,但MaxCompute在資料加密或解密過程中會與KMS服務的API互動。KMS服務會產生一定費用,計費詳情請參見KMS服務計費說明

    建立專案開通儲存加密

    開啟資料存放區加密功能後,MaxCompute會自動完成專案資料讀寫過程中的加密或解密操作。

    方式一:通過MaxCompute控制台開啟資料存放區加密功能

    1. 若所在地區已開通Key Management Service,該步驟可忽略。

      Key Management Service開通頁,單擊立即開通,開通KMS服務。

    2. 登入MaxCompute控制台,在左上方選擇地區。

    3. 在左側導覽列,選擇管理配置 > 项目管理

    4. 内部项目頁簽,單擊新建项目

    5. 在彈出的新增项目對話方塊,根據介面提示文案設定項目資訊,單擊確認

      • 存储加密選擇需要加密,然後選擇密钥和對應算法

      • 密钥:專案使用的密鑰類型,包含MaxCompute內部建立的預設密鑰(MaxCompute Default Key)和內建密鑰(BYOK)。

        • 使用預設密鑰(MaxCompute Default Key)時,選擇MaxCompute Default Key

        • 使用內建密鑰(BYOK)時,選擇CMK

      • 算法:密鑰支援的密碼編譯演算法,包含AES256、AESCTR和RC4。

    方式二:在DataWorks中開啟資料存放區加密功能

    1. 若所在地區已開通Key Management Service,該步驟可忽略。

      Key Management Service開通頁,單擊立即開通,開通KMS服務。

    2. 登入DataWorks控制台,在左上方選擇地區。

    3. 在左側導覽列選擇工作空间

    4. 工作空间列表頁面,單擊创建工作空间

      詳情請參見建立工作空間

    5. 綁定MaxCompute計算資源。

      1. 工作空間建立成功後,在工作空间列表頁面,單擊目標工作空間對應的操作列的管理

      2. 空间详情頁面,單擊左側導覽列计算资源

      3. 计算资源頁面,單擊綁定計算資源,選擇MaxCompute

      4. 填寫綁定MaxCompute計算資源基本資料

        • 選擇MaxCompute專案時單擊建立

        • 存储加密選擇需要加密,然後選擇密钥和對應算法

        • 密钥:專案使用的密鑰類型,包含MaxCompute內部建立的預設密鑰(MaxCompute Default Key)和內建密鑰(BYOK)。

          • 使用預設密鑰(MaxCompute Default Key)時,選擇MaxCompute Default Key

          • 使用內建密鑰(BYOK)時,選擇CMK

        • 算法:密鑰支援的密碼編譯演算法,包含AES256、AESCTR和RC4。

    存量專案開通儲存加密

    只支援未開通儲存加密的專案開通儲存加密,已經開通儲存加密的專案不允許關閉儲存加密和更改密碼編譯演算法。

    1. 許可權配置

      • 開通儲存加密需修改MaxCompute專案基礎屬性的參數,此操作許可權通過RAM進行鑒權,需要擁有對應專案的Super_Administrator角色許可權。

      • 配置MaxCompute專案的許可權屬性和IP白名單的參數,需要擁有對應專案的系統管理權限(Admin)角色包括Super_Administrator、Admin或自訂管理類許可權。

      • 詳情請參見專案管理類許可權一覽表使用RAM進行存取控制

    2. 登入MaxCompute控制台,在左上方選擇地區。

    3. 在左側導覽列,選擇管理配置 > 项目管理

    4. 项目管理頁面,單擊目標專案操作列的管理

    5. 项目配置頁面,選擇参数配置頁簽。

    6. 基础属性地區,單擊编辑

      • 存储加密選擇需要加密,然後選擇密钥和對應算法

      • 密钥:專案使用的密鑰類型,包含MaxCompute內部建立的預設密鑰(MaxCompute Default Key)和內建密鑰(BYOK)。

        • 使用預設密鑰(MaxCompute Default Key)時,選擇MaxCompute Default Key

        • 使用內建密鑰(BYOK)時,選擇CMK

      • 算法:密鑰支援的密碼編譯演算法,包含AES256、AESCTR和RC4。

    7. 單擊提交,完成存量專案開通儲存加密功能。

    相關文檔

    • 還可以使用基於ACL和角色管理的方式,實現對Project層級、表層級的授權,保證只有經過授權的使用者才能訪問資料,詳情請參見ACL許可權控制

    • 當專案使用者具備查詢敏感性資料的許可權,但又不希望看到完整的敏感性資料資訊,可以對查詢結果進行資料動態脫敏,詳情請參見資料動態脫敏

    • 當僅需要對錶中部分資料進行加密,可使用MaxCompute提供的加密函數,詳情請參見加密函數