Table Store資料加密功能 - Tablestore

Tablestore提供資料落盤加密功能，您可以在建立資料表時配置加密方式來保證資料安全。

背景資訊

Key Management Service（Key Management Service）是您的一站式密鑰管理和資料加密服務平台、一站式憑據安全管理平台，提供簡單、可靠、安全、合規的資料加密保護和憑據管理能力。KMS協助您降低在密碼基礎設施、資料加解密產品和憑據管理產品上的採購、營運、研發開銷，以便您只需關注業務本身。

Tablestore提供基於Key Management Service（Key Management Service，簡稱KMS）祕密金鑰加密和基於內建密鑰（Bring Your Own Key，簡稱BYOK）加密兩種方式。兩種加密方式的加密金鑰均需在KMS擷取，請根據您的實際情況選擇加密方式。

KMS祕密金鑰加密：使用KMS預設密鑰中的主要金鑰產生服務密鑰來加密資料，並且在讀取資料時自動解密。使用該加密方式時您無需購買和建立KMS執行個體。
BYOK加密：使用自主建立和託管在KMS的使用者主要金鑰來加密資料。使用之前您需要在KMS控制台建立使用者主要金鑰並且建立一個具有加解密許可權的RAM角色以供Table Store服務進行扮演。

注意事項

資料加密功能只支援在建立資料表時開啟和配置，建立資料表後無法關閉加密功能，請謹慎操作。
目前支援資料加密功能的地區包括華東1（杭州）、華東2（上海）、華北2（北京）、華北3（張家口）、華北6（烏蘭察布）、華南1（深圳）、中國香港、日本（東京）、新加坡、印尼（雅加達）、德國（法蘭克福）、英國（倫敦）、美國（矽谷）、美國（維吉尼亞）。

加密方式

KMS祕密金鑰加密

通過KMS密鑰進行加密時，您無需購買和建立KMS執行個體，只需要在Table Store控制台建立資料表時開啟是否加密開關並選擇加密類型為kms服務主要金鑰。

登入Table Store管理主控台。
在頁面上方，選擇地區。
在概覽頁面，單擊執行個體名稱或在操作列單擊執行個體管理。
在執行個體詳情頁簽，單擊建立資料表。
在建立資料表對話方塊，配置資料表參數。
1. 填寫資料表名稱並配置表主鍵。
2. 開啟是否加密開關，選擇加密類型為kms服務主要金鑰。
單擊建立。

建立資料表後，您可以單擊資料表名稱，在基本詳情頁簽的基本資料地區通過是否加密確認是否開啟資料加密功能。

BYOK加密

通過BYOK方式進行加密時，建立資料表之前您需要先擷取密鑰ID和RAM角色的ARN資訊。

密鑰ID：Table Store使用該密鑰進行資料加密和解密。
1. 登入Key Management Service控制台。
2. 單擊左側密鑰管理，在使用者主要金鑰列表選擇密鑰並複製密鑰ID。您也可以建立一個新的軟體密鑰，具體操作請參見建立軟體密鑰。
RAM角色ARN：Table Store通過RAM角色扮演的方式調用Key Management Service進行資料加密和解密，您需要建立一個RAM角色並為其授權。
1. 建立RAM角色。
  1. 登入存取控制RAM控制台。
  2. 單擊身份管理 > 角色，在角色功能中單擊建立角色。
  3. 選擇信任主體類型為雲端服務，信任主體名稱為Table Store/OTS，單擊確定。
  4. 在建立角色對話方塊輸入角色名稱，例如TablestoreBYOK，單擊確定，按照提示完成驗證並建立角色。
2. 建立自訂權限原則。
  1. 登入存取控制RAM控制台。
  2. 單擊授權管理 > 權限原則，在權限原則功能中單擊建立權限原則。
  3. 選擇指令碼編輯，輸入以下指令碼內容，單擊確定。
```
{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```
  4. 在建立權限原則對話方塊中輸入策略名稱稱，例如TablestoreBYOKPolicy，單擊確定。
3. 為RAM角色授權自訂權限原則。
  1. 登入存取控制RAM控制台。
  2. 單擊身份管理 > 角色，在角色列表的操作列單擊新增授權。
  3. 在新增授權頁簽的權限原則部分，輸入策略名稱稱進行搜尋，勾選自訂權限原則後單擊確認新增授權完成授權。
4. 擷取RAM角色的ARN。
  1. 登入存取控制RAM控制台。
  2. 單擊身份管理 > 角色，在角色列表中單擊角色名稱。
  3. 在基本資料地區複製ARN。

擷取到密鑰ID和RAM角色ARN後，您可以在Table Store控制台建立一個資料表並使用BYOK方式進行加密。

登入Table Store管理主控台。
在頁面上方，選擇地區。
在概覽頁面，單擊執行個體名稱或在操作列單擊執行個體管理。
在執行個體詳情頁簽，單擊建立資料表。
在建立資料表對話方塊，配置資料表參數。
1. 填寫資料表名稱並配置表主鍵。
2. 開啟是否加密開關，選擇加密類型為BYOK自訂密鑰，輸入密鑰ID和ARN。
單擊建立。

建立資料表後，您可以單擊資料表名稱，在基本詳情頁簽的基本資料地區通過是否加密確認是否開啟資料加密功能。

開發整合

您可以通過Java SDK和Go SDK在建立資料表時配置資料表加密。

計費說明

資料加密費用由Key Management Service進行收取。更多資訊，請參見Key Management Service產品計費。

Tablestore：資料加密