當MaxCompute專案中存有敏感資訊如個人識別資訊、財務記錄、健康記錄等,開啟資料存放區加密可保護這些資料不被未授權者訪問。MaxCompute支援通過Key Management Service(Key Management Service)對資料進行加密儲存,提供資料靜態保護能力,滿足企業監管和安全合規需求。
儲存加密機制
MaxCompute通過KMS託管密鑰,實現資料存放區加密或解密功能。資料存放區加密機制如下:
MaxCompute以專案為單位,通過KMS加密或解密儲存在MaxCompute的資料。
KMS產生和管理您的主要金鑰CMK(Customer Master Key),並保障密鑰的安全性。
MaxCompute支援的密碼編譯演算法為AES256、AESCTR和RC4。
MaxCompute支援通過預設密鑰(MaxCompute Default Key)和內建密鑰(BYOK)加密或解密資料。
建立MaxCompute專案空間時,您可以選擇密鑰為MaxCompute Default Key。
MaxCompute會在KMS上自動建立1個密鑰作為CMK。您可以通過KMS控制台查看自動建立的密鑰資訊。
為滿足不同情境的業務和安全需求,MaxCompute支援通過內建密鑰(BYOK)加密或解密資料。
通過內建密鑰(BYOK)加密或解密資料時,您需要手動開通KMS,開通後您可以通過KMS建立特定的密鑰,即內建密鑰(BYOK),並在建立MaxCompute專案空間時,選擇該密鑰作為CMK。在KMS上建立CMK的詳情請參見CreateKey。
說明如果專案使用內建密鑰(BYOK),您在建立MaxCompute專案空間時,需要根據介面提示,完成RAM授權,以便MaxCompute可以正常建立使用內建密鑰(BYOK)的專案空間。
MaxCompute支援通過RAM自訂權限原則管控建立專案是否加密,策略內容詳情請參見權限原則。
費用說明
MaxCompute自身的資料存放區加密功能不收取費用,但MaxCompute在資料加密或解密過程中會與KMS服務的API互動。KMS服務會產生一定費用,計費詳情請參見KMS服務計費說明。
使用限制
MaxCompute的資料存放區加密功能使用限制如下:
開啟儲存加密功能的專案,僅支援版本為V1.1及以上的Hologres外部表格訪問查詢資料且需在開啟儲存加密功能前給Hologres授予KMS許可權,詳情請參見查詢MaxCompute加密資料(BYOK模式)。
如果您使用內建密鑰(BYOK)加密或解密資料,您需要根據當前MaxCompute專案所在地區情況,在要求的地區內手動開通KMS。MaxCompute地區和待開通的KMS地區對應關係如下。
MaxCompute所在地區
KMS地區
華東1(杭州)、華東2(上海)、華北2(北京)、華北3(張家口)、華北6(烏蘭察布)、華南1(深圳)、西南1(成都)
華東2(上海)
除上述地區外的其他地區
與MaxCompute所在地區保持一致
您在KMS上對內建密鑰(BYOK)的操作(例如禁用或刪除),會影響MaxCompute對資料的加密或解密操作。由於MaxCompute服務涉及緩衝,您在KMS的相關操作會在24小時內生效。
目前不支援對已經建立的專案變更儲存加密功能:關閉儲存加密功能或更改儲存加密的演算法。
存量專案新開通儲存加密,不會自動對存量資料進行加密(不影響正常讀寫操作),如果需要對存量資料加密,需要手工讀出資料再寫入。
操作步驟
建立專案開通儲存加密
方式一:在MaxCompute控制台上建立專案開通儲存加密。
進入Key Management Service開通頁,選中我已閱讀並同意Key Management Service服務合約,單擊立即開通,開通KMS服務。
說明如果您所在地區已開通KMS服務,可跳過該步驟。
登入MaxCompute控制台,在左上方選擇地區。
在左側導覽列,選擇工作區 > 專案管理。
在專案管理頁面,單擊建立專案。
在建立專案對話方塊,根據介面提示配置參數。
如下參數需重點關注。
參數
說明
計算資源付費類型
預設計算Quota的計費類型。
預設Quota
用於實現計算資源分派。
不指定計算Quota的情況下,該專案發起的作業將消耗預設Quota資源。更多計算資源使用請參見計算資源使用。
單SQL消費限制
單SQL消費的最高閾值。
單位:掃描量(GB)*複雜度。非必填項,當選擇隨用隨付計費類型時建議設定,可以避免非預期的單SQL消費過高。同時也建議配置即時消費監控警示,多方位監控限制消費超出預期,詳情請參見消費監控警示消費控制。
資料類型
MaxCompute資料類型包含1.0資料類型、2.0資料類型和Hive相容類型。
您需要根據業務情況選擇合適的資料類型版本,三種資料類型版本的區別請參見資料類型版本說明。
是否加密
選擇需要加密,指定建立的MaxCompute專案開啟資料存放區加密功能,需要選擇密鑰和對應演算法:
密鑰:專案空間使用的密鑰類型,包含預設密鑰(MaxCompute Default Key)和內建密鑰(BYOK)。預設密鑰(MaxCompute Default Key)是MaxCompute內部建立的預設密鑰。
演算法:密鑰支援的密碼編譯演算法,包含AES256、AESCTR和RC4。
單擊確定,完成建立專案。
方式二:在DataWorks裡開啟MaxCompute資料存放區加密功能。
進入Key Management Service開通頁,選中我已閱讀並同意Key Management Service服務合約,單擊立即開通,開通KMS服務。
說明如果您所在地區已開通KMS服務,可跳過該步驟。
登入DataWorks控制台,建立工作空間。詳情請參見建立工作空間。
工作空間建立成功後,在DataWorks提供的巨量資料優質資料來源推薦列表中,單擊MaxCompute後的立即綁定。
在彈出的資料開發(DataStudio)資料來源頁面,單擊建立資料來源,選擇MaxCompte,根據介面指引建立資料來源。詳情請參見通過建立MaxCompute專案建立資料來源。
在選擇建立MaxCompute專案後,勾選需要加密並配置對應的密鑰和演算法。
單擊建立資料來源並綁定資料開發,完成建立。
開啟資料存放區加密功能後,MaxCompute會自動完成專案資料讀寫過程中的加密或解密操作。
存量專案開通儲存加密
注意事項:
開通儲存加密需修改MaxCompute專案基礎屬性的參數,此操作許可權通過RAM進行鑒權,需要擁有對應專案的Super_Administrator角色許可權。
配置MaxCompute專案的許可權屬性和IP白名單的參數,需要擁有對應專案的系統管理權限(Admin)角色包括Super_Administrator、Admin或自訂管理類許可權,詳情請參見專案管理類許可權一覽表。
只支援未開通儲存加密的專案開通儲存加密,已經開通儲存加密的專案不允許關閉儲存加密和更改密碼編譯演算法。
操作步驟:
登入MaxCompute控制台,在左上方選擇地區。
在左側導覽列,選擇工作區 > 專案管理。
在專案管理頁面,單擊目標專案操作列的管理。
在專案配置頁面的參數配置頁簽,單擊基礎屬性地區的編輯。
儲存加密狀態選擇需要加密。
在加密設定對話方塊,選擇密鑰和演算法後單擊確定。
密鑰:專案空間使用的密鑰類型,包含預設密鑰(MaxCompute Default Key)和內建密鑰(BYOK)。預設密鑰(MaxCompute Default Key)是MaxCompute內部建立的預設密鑰。
演算法:密鑰支援的密碼編譯演算法,包含AES256、AESCTR和RC4。
單擊提交,完成存量專案開通儲存加密功能。