MaxCompute支持通过密钥管理服务KMS(Key Management Service)对数据进行加密存储,提供数据静态保护能力,满足企业监管和安全合规需求。本文为您介绍MaxCompute的数据加密机制,并提供使用限制、操作步骤及费用说明。

数据加密机制

MaxCompute通过KMS托管密钥,实现数据加密或解密功能。数据加密机制如下:
  • MaxCompute以项目为单位,通过KMS加密或解密存储在MaxCompute的数据。在使用数据加密功能前,请确保您所在区域已开通KMS服务
  • KMS生成和管理您的主密钥CMK(Customer Master Key),并保障密钥的安全性。
  • MaxCompute支持的加密算法为AES256、AESCTR和RC4。
  • MaxCompute支持通过默认密钥(Dataworks Default Key)和自带密钥(BYOK)加密或解密数据。
    • 创建MaxCompute项目空间时,您可以选择密钥Dataworks Default Key

      MaxCompute会在KMS上自动创建1个密钥作为CMK。您可以通过KMS控制台查看自动创建的密钥信息。

    • 为满足不同场景的业务和安全需求,MaxCompute支持通过自带密钥(BYOK)加密或解密数据。

      您可以通过KMS创建特定的密钥,即自带密钥(BYOK),并在创建MaxCompute项目空间时,选择该密钥作为CMK。在KMS上创建CMK的详情请参见CreateKey

    • 如果项目使用自带密钥(BYOK),您在创建MaxCompute项目空间时,需要根据界面提示,完成RAM授权,以便MaxCompute可以正常创建使用自带密钥(BYOK)的项目空间。

使用限制

MaxCompute的数据加密功能使用限制如下:
  • 马来西亚(吉隆坡)印度尼西亚(雅加达)区域支持数据加密功能。
  • 开启数据加密功能的项目,暂不支持通过交互式分析Hologres或Lightning方式查询数据。
  • 仅支持对新创建的项目开启数据加密功能,存量项目如果需要开启数据加密功能,请您提工单联系MaxCompute团队。
  • 您在KMS上对自带密钥(BYOK)的操作(例如禁用或删除),会影响MaxCompute对数据的加密或解密操作。由于MaxCompute服务涉及缓存,您在KMS的相关操作会在24小时内生效。

操作步骤

开启MaxCompute数据加密功能的步骤如下:
  1. 进入密钥管理服务开通页,选中密钥管理服务服务协议,单击立即开通,开通KMS服务。开通KMS
    说明 如果您所在区域已开通KMS服务,可跳过该步骤。
  2. 登录DataWorks控制台,在左侧导航栏,单击工作空间列表
  3. 工作空间列表页面上方选择区域后,单击创建工作空间。在创建工作空间面板,配置基本配置信息,单击下一步,详情请参见创建项目空间
  4. 创建工作空间面板的选择计算引擎服务区域,选中MaxCompute
  5. 请进行ODPS服务账号授权对话框,单击授权
    请进行ODPS服务账号授权
  6. 在新打开的云资源访问授权页面,单击同意授权
    同意授权
  7. 返回请进行ODPS服务账号授权对话框。关闭请进行ODPS服务账号授权对话框,在创建工作空间面板的选择计算引擎服务区域,重新选中MaxCompute,单击下一步
  8. 创建工作空间面板,配置引擎详情信息。选中加密,开启数据加密功能。
    以创建简单模式的工作空间为例。引擎详情
    分类 参数 描述
    MaxCompute 实例显示名称 长度为3~27个字符,以字母开头,且只能包含字母、下划线(_)和数字。
    Quota组切换 Quota用于实现计算资源和磁盘配额,详情请参见MaxCompute管家
    MaxCompute数据类型 MaxCompute数据类型包含1.0数据类型2.0数据类型Hive兼容类型。三种数据类型版本详情请参见数据类型版本说明
    MaxCompute项目名称 工作空间模式为简单模式时,默认与DataWorks工作空间的名称一致。工作空间模式为开发模式时,开发环境的项目名称带_dev标识;生产环境的项目名称默认与DataWorks工作空间的名称一致。
    MaxCompute访问身份 开发环境的MaxCompute访问身份默认为任务负责人,不可以修改。

    生产环境的MaxCompute访问身份包括阿里云主账号阿里云子账号

    是否加密 指定创建的项目空间是否需要开启数据加密功能。
    密钥 项目空间使用的密钥类型,包含默认密钥(Dataworks Default Key)和自带密钥(BYOK)。默认密钥(Dataworks Default Key)是MaxCompute内部创建的默认密钥。
    算法 密钥支持的加密算法,包含AES256、AESCTR和RC4。
  9. 单击创建工作空间,完成创建。

    开启数据加密功能后,MaxCompute会自动完成项目数据读写过程中的加密或解密操作。

费用说明

MaxCompute自身的数据加密功能不收取费用,但MaxComptue在数据加密或解密过程中会与KMS服务的API交互。KMS服务会产生一定费用,计费详情请参见KMS服务计费说明