MaxCompute支持通过密钥管理服务KMS(Key Management Service)对数据进行加密存储,提供数据静态保护能力,满足企业监管和安全合规需求。本文为您介绍MaxCompute的数据加密机制,并提供使用限制、操作步骤及费用说明。

数据加密机制

MaxCompute通过KMS托管密钥,实现数据加密或解密功能。数据加密机制如下:
  • MaxCompute以项目为单位,通过KMS加密或解密存储在MaxCompute的数据。
  • KMS生成和管理您的主密钥CMK(Customer Master Key),并保障密钥的安全性。
  • MaxCompute支持的加密算法为AES256、AESCTR和RC4。
  • MaxCompute支持通过默认密钥(DataWorks Default Key)和自带密钥(BYOK)加密或解密数据。
    • 创建MaxCompute项目空间时,您可以选择密钥DataWorks Default Key

      MaxCompute会在KMS上自动创建1个密钥作为CMK。您可以通过KMS控制台查看自动创建的密钥信息。

    • 为满足不同场景的业务和安全需求,MaxCompute支持通过自带密钥(BYOK)加密或解密数据。
      通过自带密钥(BYOK)加密或解密数据时,您需要手动开通KMS,开通后您可以通过KMS创建特定的密钥,即自带密钥(BYOK),并在创建MaxCompute项目空间时,选择该密钥作为CMK。在KMS上创建CMK的详情请参见CreateKey
      说明 如果项目使用自带密钥(BYOK),您在创建MaxCompute项目空间时,需要根据界面提示,完成RAM授权,以便MaxCompute可以正常创建使用自带密钥(BYOK)的项目空间。

使用限制

MaxCompute的数据加密功能使用限制如下:
  • 开启数据加密功能的项目,仅支持版本为V1.1及以上的Hologres外部表访问查询数据。
  • 仅支持对新创建的项目开启数据加密功能。
  • 如果您使用自带密钥(BYOK)加密或解密数据,您需要根据当前MaxCompute项目所在地域情况,在要求的地域内手动开通KMS。MaxCompute地域和待开通的KMS地域对应关系如下。
    MaxCompute所在地域KMS地域
    华东1(杭州)、华东2(上海)、华北2(北京)、华北3(张家口)、华南1(深圳)、西南1(成都)华东2(上海)
    除上述地域外的其他地域与MaxCompute所在地域保持一致
  • 您在KMS上对自带密钥(BYOK)的操作(例如禁用或删除),会影响MaxCompute对数据的加密或解密操作。由于MaxCompute服务涉及缓存,您在KMS的相关操作会在24小时内生效。
  • 目前不支持对已经创建的项目变更数据加密功能开启或关闭。

操作步骤

开启MaxCompute数据加密功能的步骤如下:
  1. 进入密钥管理服务开通页,选中我已阅读并同意 密钥管理服务 服务协议,单击立即开通,开通KMS服务。开通KMS
    说明 如果您所在区域已开通KMS服务,可跳过该步骤。
  2. 登录DataWorks控制台,在左侧导航栏,单击工作空间列表
  3. 工作空间列表页面上方选择区域后,单击创建工作空间。在创建工作空间面板,配置基本配置信息,单击下一步,详情请参见创建MaxCompute项目
  4. 创建工作空间面板的选择计算引擎服务区域,选中MaxCompute
  5. 请进行ODPS服务账号授权对话框,单击授权
    请进行ODPS服务账号授权
  6. 在新打开的云资源访问授权页面,单击同意授权
    同意授权
  7. 返回请进行ODPS服务账号授权对话框。关闭请进行ODPS服务账号授权对话框,在创建工作空间面板的选择计算引擎服务区域,重新选中MaxCompute,单击下一步
  8. 创建工作空间面板,配置引擎详情信息。选中加密,开启数据加密功能。
    以创建简单模式的工作空间为例。引擎详情
    分类参数描述
    MaxCompute实例显示名称长度为3~27个字符,以字母开头,且只能包含字母、下划线(_)和数字。
    Quota组切换Quota用于实现计算资源和磁盘配额,详情请参见MaxCompute管家
    MaxCompute数据类型MaxCompute数据类型包含1.0数据类型2.0数据类型Hive兼容类型。三种数据类型版本详情请参见数据类型版本说明
    MaxCompute项目名称工作空间模式为简单模式时,默认与DataWorks工作空间的名称一致。工作空间模式为开发模式时,开发环境的项目名称带_dev标识;生产环境的项目名称默认与DataWorks工作空间的名称一致。
    MaxCompute访问身份开发环境的MaxCompute访问身份默认为任务负责人,不可以修改。

    生产环境的MaxCompute访问身份包括阿里云主账号阿里云子账号

    是否加密指定创建的项目空间是否需要开启数据加密功能。
    密钥项目空间使用的密钥类型,包含默认密钥(DataWorks Default Key)和自带密钥(BYOK)。默认密钥(DataWorks Default Key)是MaxCompute内部创建的默认密钥。
    算法密钥支持的加密算法,包含AES256、AESCTR和RC4。
  9. 单击创建工作空间,完成创建。

    开启数据加密功能后,MaxCompute会自动完成项目数据读写过程中的加密或解密操作。

费用说明

MaxCompute自身的数据加密功能不收取费用,但MaxComptue在数据加密或解密过程中会与KMS服务的API交互。KMS服务会产生一定费用,计费详情请参见KMS服务计费说明