ディスク暗号化機能を使用すると、ApsaraDB for MongoDBインスタンスのデータを暗号化して、データセキュリティを最大化できます。 ディスクの暗号化は、ビジネスワークロードには影響しません。 アプリケーションのコードを変更する必要はありません。 このトピックでは、ディスク暗号化機能を有効にする方法について説明します。
前提条件
ディスク暗号化機能を有効にするインスタンスは、エンタープライズSSD (ESSD) を使用するレプリカセットまたはシャードクラスターインスタンスです。
課金
ディスク暗号化機能は無料で提供されます。 ただし、データ暗号化に使用されるKey Management Service (KMS) キーに対しては課金されます。 KMSの課金の詳細については、「KMSの課金」をご参照ください。
使用上の注意
ApsaraDB for MongoDBインスタンスのディスク暗号化機能は、インスタンスを作成した場合にのみ有効にできます。 機能を有効にした後は無効にすることはできません。
ApsaraDB for MongoDBインスタンスのディスク暗号化機能を有効にすると、インスタンス用に作成されたスナップショットと、スナップショットから作成されたディスクは自動的に暗号化されます。
Alibaba Cloudアカウント内でKMSの料金が滞納している場合、スナップショットから作成されたディスクは復号化できません。 これにより、ApsaraDB for MongoDBインスタンスが利用できなくなります。 ディスクの暗号化に使用されるKMSキーが正常であることを確認してください。 KMSの詳細については、「」をご参照ください。キー管理サービスとは
KMSキーを無効または削除した場合、そのキーを使用するApsaraDB for MongoDBインスタンスは期待どおりに実行できません。 この場合、インスタンス設定の変更、スナップショットの作成、スナップショットの復元、バックアップデータベースの再構築などの操作に影響します。
ディスク暗号化機能が有効になっているインスタンスを回復する場合は、データ暗号化に使用されているインスタンスのKMSキーが使用可能であることを確認してください。 そうでない場合、インスタンスは回復できません。
ディスク暗号化機能の有効化
ECI インスタンスの割引額を照会するには、 ApsaraDB MongoDBインスタンス作成ページ
下表に示すパラメーターを設定します。
パラメーター
説明
ストレージタイプ
インスタンスのストレージタイプを示します。 インスタンスのESSDストレージタイプを選択する必要があります。 ESSDのみがディスク暗号化機能をサポートしています。
暗号化タイプ
インスタンスの暗号化タイプ。 [ディスク暗号化] を選択します。
サービスにリンクされたロール
リンクされたAlibaba Cloudサービスのみが引き受けることができるResource Access Management (RAM) ロール。 ディスク暗号化機能を使用するには、サービスにリンクされたロールが必要です。 サービスにリンクされたロールを既に作成している場合は、[作成済み] が表示されます。 サービスにリンクされたロールを作成していない場合は、[サービスにリンクされたロールの作成] をクリックします。
暗号化キー
ディスクの暗号化に使用されるKMSキー。
指定したリージョンにKMSキーが作成されていない場合は、KMSコンソールに移動します。 KMSキーの作成方法の詳細については、「CMKの作成」をご参照ください。
インスタンスを作成するために設定する必要があるパラメーターとApsaraDB For MongoDBインスタンスの作成方法の詳細については、「レプリカセットインスタンスの作成」または「シャードクラスターインスタンスの作成」をご参照ください。