ディスク暗号化は、インスタンス上のデータを暗号化することで、データセキュリティを強化します。このプロセスは自動的かつ透過的に実行されるため、アプリケーションを変更する必要はありません。このトピックでは、ディスク暗号化を有効にする方法について説明します。
前提条件
ストレージタイプ:ESSD クラウドディスク
インスタンスファミリー:専有型
アーキテクチャ:レプリカセットインスタンスまたはシャードクラスターインスタンス
課金
ディスク暗号化は無料ですが、Key Management Service (KMS) の利用料金が別途発生します。KMS の課金の詳細については、「KMS 1.0 の課金」をご参照ください。
注意事項
ディスク暗号化は、インスタンスの作成時にのみ有効にできます。一度有効にすると、無効にすることはできません。
ディスク暗号化を有効にすると、インスタンスのスナップショット、およびそれらのスナップショットから作成されたインスタンスも暗号化されます。
ご利用の Key Management Service (KMS) アカウントに支払い遅延がある場合、ディスクを復号できなくなり、MongoDB インスタンスが利用できなくなります。サービスの中断を避けるため、KMS キーが常に有効な状態であることを確認してください。
KMS キーを無効化または削除すると、関連付けられた MongoDB インスタンスが正常に機能しなくなります。これは、構成の変更、スナップショットの作成と復元、セカンダリノードの再構築などの操作に影響します。
現在、ディスク暗号化は KMS が提供するデフォルトキーのみをサポートしています。
暗号化されたインスタンスをゴミ箱から復元するには、関連付けられた KMS キーが利用可能であることを確認してください。そうでない場合、復元は失敗します。
ディスク暗号化の有効化
ApsaraDB for MongoDB 購入ページにアクセスします。
ApsaraDB for MongoDB の購入ページで、次のパラメーターを設定します。
パラメーター
説明
ストレージタイプ
ESSD クラウドディスクを選択します。ディスク暗号化はこのストレージタイプでのみサポートされています。
暗号化タイプ
[暗号化] を選択します。
サービスリンクロール
ディスク暗号化にはサービスリンクロールが必要です。まだ作成していない場合は、[サービスリンクロールの作成] をクリックします。ロールが既に存在する場合、ステータスは [作成済み] と表示されます。
暗号化キー
ディスク暗号化に使用する KMS キーを選択します。
現在のリージョンに KMS キーが存在しない場合は、KMS コンソールで作成します。手順については、「キーの作成」をご参照ください。
説明現在、KMS が提供するデフォルトキーのみがサポートされています。
その他のパラメーターとインスタンス作成の完了方法の詳細については、「レプリカセットインスタンスの作成」または「シャードクラスターインスタンスの作成」をご参照ください。