個人識別情報、財務記録、健康記録などの機密情報がMaxComputeプロジェクトに保存されている場合は、ストレージ暗号化を有効にして、権限のないユーザーによるアクセスからデータを保護できます。 MaxComputeでは、Key Management Service (KMS) を使用して、ストレージ用のデータを暗号化できます。 MaxComputeは、エンタープライズガバナンスとセキュリティコンプライアンスの要件を満たす静的データ保護を提供します。
ストレージ暗号化メカニズム
MaxComputeは、KMSのカスタマーマスターキー (CMK) を使用して、次のデータ暗号化メカニズムに基づいてデータを暗号化または復号します。
MaxComputeプロジェクトでは、データ暗号化機能が有効になっています。
KMSコンソールでCMKを作成および管理して、CMKのセキュリティを確保できます。
MaxComputeは、AES-256、AESCTR、およびRC4暗号化アルゴリズムをサポートしています。
MaxComputeでは、MaxComputeのデフォルトキーとBring Your Own Key (BYOK) に基づいて作成されたCMKを使用して、データを暗号化または復号化できます。
MaxComputeプロジェクトを作成するときに、KeyをMaxCompute Default Keyに設定できます。
MaxComputeは、KMSでMaxComputeプロジェクトのキーを自動的に作成し、そのキーをプロジェクトのCMKとして使用します。 キー情報はKMSコンソールで確認できます。
さまざまなシナリオでビジネス要件とセキュリティ要件を満たすために、MaxComputeはBYOKを使用してデータを暗号化または復号できます。
BYOKを使用してデータを暗号化または復号化する場合、KMSを手動でアクティブ化する必要があります。 KMSが有効化された後、KMSコンソールでBYOKを作成し、MaxComputeプロジェクトを作成するときにBYOKをCMKとして選択できます。 KMSでCMKを作成する方法については、「CreateKey」をご参照ください。
説明MaxComputeプロジェクトでBYOKを使用する必要がある場合は、プロジェクトの作成時にプロンプトに従ってResource Access Management (RAM) 権限付与を完了する必要があります。
カスタムRAMポリシーを作成して、プロジェクト内のデータを暗号化する権限など、MaxComputeプロジェクトの権限を管理できます。 詳細は、「RAM権限」をご参照ください。
課金ルール
MaxComputeプロジェクトのデータ暗号化機能の有効化には課金されません。 データの暗号化および復号化中、MaxComputeはKMSのAPI操作と対話します。 KMSの使用に対して課金されます。 課金の詳細については、「KMSの課金」をご参照ください。
制限事項
MaxComputeのデータ暗号化機能には、次の制限があります。
BYOKを使用してデータを暗号化または復号化する場合、現在のMaxComputeプロジェクトが存在するリージョンでKMSを有効化する必要があります。
外部テーブルを使用してHologresインスタンスからMaxComputeの暗号化されたデータにアクセスする場合、HologresインスタンスのバージョンはV1.1以降である必要があり、KMSの権限をHologresインスタンスに付与する必要があります。 BYOKは、上海リージョンでのKMSの使用のみをサポートしています。 詳細については、「BYOKに基づいて暗号化されたMaxComputeデータの照会」をご参照ください。
KMSでのCMKの無効化や削除操作などの操作は、MaxComputeでのデータの暗号化と復号化に影響を与える可能性があります。 MaxComputeは履歴設定をキャッシュします。 KMSでの操作は、24時間以内に遅延して有効になります。
既存のプロジェクトのデータ暗号化機能を無効にしたり、ストレージ暗号化アルゴリズムを変更したりすることはできません。
既存のプロジェクトでストレージ暗号化を有効にした場合、プロジェクト内のデータは、プロジェクトからデータを読み書きするときに自動的に暗号化されません。 既存のプロジェクトのデータを暗号化する場合は、プロジェクトからデータを手動で読み取り、データをプロジェクトに書き込む必要があります。
手順
新しいMaxComputeプロジェクトのストレージ暗号化の有効化
方法1: MaxComputeコンソールでプロジェクトを作成し、プロジェクトのストレージ暗号化を有効にする
を使用します。 [キー管理サービス] ページで、利用規約を読み、[キー管理サービス利用規約] を選択します。[今すぐ有効化] をクリックしてKMSを有効化します。
説明プロジェクトが存在するリージョンでKMSを有効化している場合は、この手順をスキップできます。
MaxComputeコンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。
左側のナビゲーションウィンドウで、ワークスペース>プロジェクト. を選択します。
プロジェクトページでプロジェクトの作成. をクリックします。
プロジェクトの作成ダイアログボックスで、プロンプトに従ってパラメーターを設定します。
次の表に、注意が必要なパラメーターを示します。
パラメーター
説明
Billing Method
コンピューティングリソースの課金方法。デフォルトのクォータグループの課金方法でもあります。
デフォルトのクォータ
クォータグループは、コンピューティングリソースの割り当てに使用されます。
プロジェクトにクォータグループを指定しない場合、プロジェクトによって開始されたジョブは、既定のクォータグループ内のコンピューティングリソースを消費します。 コンピューティングリソースの使用方法については、「コンピューティングリソースの使用」をご参照ください。
SQLステートメントによって消費される最大リソース
SQLジョブで使用できるリソースの上限。
式: スキャンされたデータの量 (GB) × 複雑さ。 このパラメーターはオプションです。 課金方法で従量課金を選択した場合、このパラメーターを設定して、1つのSQLジョブが過剰なリソースを消費しないようにすることを推奨します。 また、コンピューティングジョブによって消費されるリソースを監視するようにリアルタイム消費制御を構成することをお勧めします。 これにより、リソースの大量消費を防ぐことができます。 詳細については、「消費制御」をご参照ください。
データ型エディション
MaxComputeのデータ型エディション。 有効な値: MaxCompute V2.0データ型エディション (推奨) 、MaxCompute V1.0データ型エディション (初期のMaxComputeプロジェクトに適しています) 、およびHive互換データ型エディション (Hadoopから移行したMaxComputeプロジェクトに適しています) 。
ビジネス要件に基づいてデータ型エディションを選択します。 3つのデータ型エディションの違いについては、「データ型エディション」をご参照ください。
Encrypt
作成するMaxComputeプロジェクトのデータ暗号化機能を有効にするかどうかを指定します。 [はい] を選択した場合、次のパラメーターを設定する必要があります。
Key: MaxComputeプロジェクトで使用されるキーのタイプ。 MaxCompute Default KeyまたはBYOKを選択できます。 [MaxCompute Default Key] を選択した場合、MaxComputeがプロジェクト用に自動的に作成するキーが使用されます。
アルゴリズム: キーでサポートされている暗号化アルゴリズム。 有効な値: AES256、AESCTR、およびRC4。
OK. をクリックします。
方法2: DataWorksコンソールでMaxComputeプロジェクトのデータ暗号化機能を有効にする
を使用します。 [キー管理サービス] ページで、利用規約を読み、[キー管理サービス利用規約] を選択します。[今すぐ有効化] をクリックしてKMSを有効化します。
説明プロジェクトが存在するリージョンでKMSを有効化している場合は、この手順をスキップできます。
DataWorksコンソールにログインし、[ワークスペース] ページに移動してワークスペースを作成します。 詳細については、「ワークスペースの作成」をご参照ください。
ワークスペースの作成パネルで、[推奨されるビッグデータサービス] セクションでMaxComputeを見つけ、[今すぐ関連付け] をクリックします。
[データソース] ページで、[データソースの作成] をクリックします。 [データソースの作成] ダイアログボックスで、[MaxCompute] をクリックします。 次に、プロンプトに従ってパラメーターを設定し、MaxComputeデータソースを追加します。 詳細については、「MaxComputeデータソースの追加」をご参照ください。
[作成方法] パラメーターに [MaxComputeプロジェクトの作成] を選択した後、[暗号化] パラメーターに [はい] を選択し、[キー] パラメーターと [アルゴリズム] パラメーターを設定します。
残りのパラメーターを設定し、[データソースの追加とDataStudioへの関連付け] をクリックします。
データ暗号化機能を有効にすると、MaxComputeはMaxComputeプロジェクトに読み書きされるデータを自動的に暗号化または復号化します。 データは最終的にユーザによって平文として読み取られる。
既存プロジェクトのストレージ暗号化の有効化
注意事項
既存のプロジェクトのストレージ暗号化を有効にするには、プロジェクトの [パラメーター設定] タブの [基本プロパティ] セクションのパラメーターを変更する必要があります。 既存のプロジェクトのストレージ暗号化を有効にできるのは、Super_Administratorロールが割り当てられているRAMユーザーのみです。
MaxComputeプロジェクトの権限とIPアドレスホワイトリストを設定するには、使用するアカウントに必要な権限を持つSuper_Administratorロール、Adminロール、またはカスタム管理者ロールが割り当てられていることを確認する必要があります。 詳細については、「プロジェクト管理の権限」をご参照ください。
ストレージ暗号化が有効になっていないプロジェクトに対してのみ、ストレージ暗号化を有効にできます。 ストレージ暗号化が有効になっているプロジェクトでは、ストレージ暗号化を無効にしたり、ストレージ暗号化アルゴリズムを変更したりできません。
手順
MaxComputeコンソールにログインします。 上部のナビゲーションバーで、リージョンを選択します。
左側のナビゲーションウィンドウで、ワークスペース>プロジェクト. を選択します。
[プロジェクト] ページで目的のプロジェクトを見つけ、[操作] 列の [管理] をクリックします。
[プロジェクト設定] ページの [パラメーター設定] タブで、[基本プロパティ] セクションの [編集] をクリックします。
[ストレージ暗号化ステータス] で [はい] を選択します。
[暗号化の設定] ダイアログボックスで、[キー] と [アルゴリズム] パラメーターを設定し、[OK] をクリックします。
Key: MaxComputeプロジェクトで使用されるキーのタイプ。 MaxCompute Default KeyまたはBYOKを選択できます。 [MaxCompute Default Key] を選択した場合、MaxComputeがプロジェクト用に自動的に作成するキーが使用されます。
アルゴリズム: キーでサポートされている暗号化アルゴリズム。 有効な値: AES256、AESCTR、およびRC4。
[基本プロパティ] セクションで [送信] をクリックします。 既存のプロジェクトでストレージ暗号化機能が有効になっています。
関連ドキュメント
ACLベースのアクセス制御を使用して、プロジェクトまたはテーブルに対する権限をユーザーまたはロールに付与することもできます。 詳細については、「ACLベースのアクセス制御」をご参照ください。
ユーザーがMaxComputeプロジェクト内の特定の機密データをクエリする権限を持っていて、そのユーザーに完全な機密データを表示させたくない場合は、MaxComputeの動的データマスキング機能を有効にして、クエリ結果の機密データを動的にマスクできます。 詳細については、「動的データマスキング」をご参照ください。
テーブル内の特定のデータを暗号化する場合は、MaxComputeの暗号化関数を使用できます。 詳細については、「暗号化と復号化関数」をご参照ください。