ディスク暗号化機能を使用して、ブロックストレージに基づいてデータディスクを暗号化できます。 暗号化されたディスクから作成されたスナップショットとスナップショットから作成されたディスクは自動的に暗号化されます。 これにより、ディスクに保存されたデータを最大限に保護できます。 ディスクの暗号化は、ビジネスワークロードには影響しません。 アプリケーションのコードを変更する必要はありません。 このトピックでは、ApsaraDB for MongoDBインスタンスのディスク暗号化機能を有効にする方法について説明します。
前提条件
ディスク暗号化機能を有効にするインスタンスは、拡張SSD (ESSD) を使用するレプリカセットまたはシャードクラスターインスタンスです。
課金
ディスク暗号化機能は無料で使用できます。 ただし、キー管理サービス (KMS) に対して課金されます。 KMSの料金については、「KMSの課金」をご参照ください。
使用上の注意
インスタンスのディスク暗号化機能は、インスタンスを作成する場合にのみ有効にできます。 機能を有効にした後は無効にすることはできません。
ApsaraDB for MongoDBインスタンスのディスク暗号化機能を有効にすると、インスタンス用に作成されたスナップショットと、スナップショットから作成されたディスクは自動的に暗号化されます。
Alibaba Cloudアカウント内でKMSの料金が滞納している場合、スナップショットから作成されたディスクは復号化できません。 これにより、ApsaraDB for MongoDBインスタンスが利用できなくなります。 ディスク暗号化に使用されるカスタマーマスターキー (CMK) が正常であることを確認してください。 KMSの詳細については、「」をご参照ください。キー管理サービスとは
CMKを無効化または削除した場合、ApsaraDB for MongoDBインスタンスは期待どおりに実行できません。 たとえば、設定の変更、スナップショットの作成、スナップショットからのデータの復元、インスタンスのセカンダリインスタンスの再構築はできません。
ディスク暗号化機能が有効になっているApsaraDB for MongoDBインスタンスをリリースすると、インスタンスに保存されているすべてのデータがすぐに削除され、インスタンスをリサイクルすることはできません。 作業は慎重に行ってください。
インスタンスのディスク暗号化機能の有効化
ApsaraDB for MongoDB購入ページに移動します。
次の表に示すパラメーターを設定します。
パラメーター
説明
ストレージタイプ
インスタンスのストレージタイプを示します。 インスタンスのESSDストレージタイプを選択する必要があります。 ESSDのみがディスク暗号化機能をサポートしています。
暗号化タイプ
インスタンスの暗号化タイプ。 [暗号化] を選択します。
サービスにリンクされたロール
リンクされたAlibaba Cloudサービスのみが引き受けることができるResource Access Management (RAM) ロール。 ディスク暗号化機能を使用するには、サービスにリンクされたロールが必要です。 サービスにリンクされたロールを既に作成している場合は、購入ページに作成済みが表示されます。 サービスにリンクされたロールを作成していない場合は、[サービスにリンクされたロールの作成] をクリックします。
暗号化キー
ディスクの暗号化に使用されるCMK。
現在のリージョンにCMKが存在しない場合は、KMSコンソールでCMKを作成できます。 詳細については、「CMKの作成」をご参照ください。
インスタンスを作成するために設定する必要があるパラメーターとインスタンスの作成方法の詳細については、「レプリカセットインスタンスの作成」または「シャードクラスターインスタンスの作成」をご参照ください。