表格存储提供数据落盘加密功能,您可以在创建数据表时配置加密方式来保证数据安全。
背景信息
密钥管理服务KMS(Key Management Service)是您的一站式密钥管理和数据加密服务平台、一站式凭据安全管理平台,提供简单、可靠、安全、合规的数据加密保护和凭据管理能力。KMS帮助您降低在密码基础设施、数据加解密产品和凭据管理产品上的采购、运维、研发开销,以便您只需关注业务本身。
表格存储提供基于密钥管理服务(Key Management Service,简称KMS)密钥加密和基于自带密钥(Bring Your Own Key,简称BYOK)加密两种方式。两种加密方式的加密密钥均需在KMS获取,请根据您的实际情况选择加密方式。
KMS密钥加密:使用KMS默认密钥中的主密钥生成服务密钥来加密数据,并且在读取数据时自动解密。使用该加密方式时您无需购买和创建KMS实例。
BYOK加密:使用自主创建和托管在KMS的用户主密钥来加密数据。使用之前您需要在KMS控制台创建用户主密钥并且创建一个具有加解密权限的RAM角色以供表格存储服务进行扮演。
注意事项
数据加密功能只支持在创建数据表时开启和配置,创建数据表后无法关闭加密功能,请谨慎操作。
目前支持数据加密功能的地域包括华东1(杭州)、华东2(上海)、华北2(北京)、华北3(张家口)、华北6(乌兰察布)、华南1(深圳)、中国香港、日本(东京)、新加坡、印度尼西亚(雅加达)、德国(法兰克福)、英国(伦敦)、美国(硅谷)、美国(弗吉尼亚)、华东1 金融云、华北2 阿里政务云1。
加密方式
KMS密钥加密
通过KMS密钥进行加密时,您无需购买和创建KMS实例,只需要在表格存储控制台创建数据表时打开是否加密开关并选择加密类型为kms服务主密钥。
登录表格存储管理控制台。
在页面上方,选择地域。
在概览页面,单击实例名称或在操作列单击实例管理。
在实例详情页签,单击创建数据表。
在创建数据表对话框,配置数据表参数。
填写数据表名称并配置表主键。
打开是否加密开关,选择加密类型为kms服务主密钥。
单击创建。
创建数据表后,您可以单击数据表名称,在基本详情页签的基本信息区域通过是否加密确认是否开启数据加密功能。
BYOK加密
通过BYOK方式进行加密时,创建数据表之前您需要先获取密钥ID和RAM角色的ARN信息。
密钥ID:表格存储使用该密钥进行数据加密和解密。
RAM角色ARN:表格存储通过RAM角色扮演的方式调用密钥管理服务进行数据加密和解密,您需要创建一个RAM角色并为其授权。
创建RAM角色。
登录访问控制RAM控制台。
单击,在角色功能中单击创建角色。
选择信任主体类型为云服务,信任主体名称为表格存储/OTS,单击确定。
在创建角色对话框输入角色名称,例如TablestoreBYOK,单击确定,按照提示完成验证并创建角色。
创建自定义权限策略。
登录访问控制RAM控制台。
单击,在权限策略功能中单击创建权限策略。
选择脚本编辑,输入以下脚本内容,单击确定。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "*" ] } ] }在创建权限策略对话框中输入策略名称,例如TablestoreBYOKPolicy,单击确定。
为RAM角色授权自定义权限策略。
登录访问控制RAM控制台。
单击,在角色列表的操作列单击新增授权。
在新增授权页签的权限策略部分,输入策略名称进行搜索,勾选自定义权限策略后单击确认新增授权完成授权。
获取RAM角色的ARN。
登录访问控制RAM控制台。
单击,在角色列表中单击角色名称。
在基本信息区域复制ARN。
获取到密钥ID和RAM角色ARN后,您可以在表格存储控制台创建一个数据表并使用BYOK方式进行加密。
登录表格存储管理控制台。
在页面上方,选择地域。
在概览页面,单击实例名称或在操作列单击实例管理。
在实例详情页签,单击创建数据表。
在创建数据表对话框,配置数据表参数。
填写数据表名称并配置表主键。
打开是否加密开关,选择加密类型为BYOK自定义密钥,输入密钥ID和ARN。
单击创建。
创建数据表后,您可以单击数据表名称,在基本详情页签的基本信息区域通过是否加密确认是否开启数据加密功能。
开发集成
计费说明
数据加密费用由密钥管理服务KMS进行收取。更多信息,请参见密钥管理服务产品计费。