すべてのプロダクト
Search

このプロダクト

    PolarDB:PolarDB for MySQLクラスターのTDEの設定

    ドキュメントセンター

    PolarDB:PolarDB for MySQLクラスターのTDEの設定

    最終更新日:Jun 05, 2024

    透過的なデータ暗号化 (TDE) を使用すると、データファイルに対してリアルタイムのI/O暗号化と復号化を実行できます。 データは、ディスクに書き込まれる前に暗号化され、ディスクからメモリに読み出されるときに復号化される。 PolarDB for MySQLクラスターのTDEを有効にしても、PolarDB for MySQLクラスターのデータファイルのサイズは増加しません。 アプリケーションの設定を変更することなく、TDEを使用できます。

    前提条件

    • EditionCluster EditionPolarDB for MySQLクラスターのみがTDEをサポートしています。

      Cluster EditionPolarDB for MySQLクラスターは、特定の要件を満たす必要があります。 次の表に、PolarDBエディションとMySQLバージョンに基づく要件を示します。

      エディション

      MySQLバージョン

      TDEのサポート

      クラスターエディション

      5.6

      リビジョンバージョンはV5.6.1.0.21以降である必要があります。

      5.7

      リビジョンバージョンはV5.7.1.0.3以降である必要があります。

      8.0

      リビジョンバージョンはV8.0.1.1.1以降である必要があります。

    • キー管理サービス (KMS) が有効化されています。 詳細については、「専用KMSインスタンスの購入」をご参照ください。

    • ApsaraDB RDSはKMSへのアクセスが許可されています。 詳細については、「ApsaraDB RDS For MySQLによるKMSへのアクセス許可」をご参照ください。

    背景情報

    PolarDB for MySQLのTDEは、AES (Advanced Encryption Standard) アルゴリズムを採用しています。 鍵長は256ビットである。 TDEで使用されるキーは、KMSによって生成および管理されます。 PolarDB for MySQLはキーまたは証明書を提供しません。 一部のゾーンでは、Alibaba Cloudによって自動的に生成されるキーを使用できます。 独自のキーマテリアルを使用してキーを生成することもできます。 次に、PolarDB for MySQLにこれらのキーを使用する権限を付与します。

    注意事項

    • I/Oバインドシナリオでは、TDEがデータベースのパフォーマンスに悪影響を与える可能性があります。

    • TDEは、グローバルデータベースネットワーク (GDN) に参加したクラスターで有効にできます。 GDNのプライマリクラスターでTDEを有効にすると、デフォルトでGDNのセカンダリクラスターでTDEが有効になります。 セカンダリクラスターで使用されるキーと、存在するキーのリージョンは、プライマリクラスターと同じである必要があります。 キーのリージョンは変更できません。

    • GDNのセカンダリクラスターでTDEを有効にすることはできません。

    手順

    重要

    • PolarDB for MySQLクラスターのTDEを有効にすると、クラスターは自動的に再起動されます。 作業は慎重に行ってください。

    • TDEを有効にすると、TDEを無効にすることはできません。

    1. にログインします。PolarDBコンソール.

    2. 左上隅で、クラスターがデプロイされているリージョンを選択します。

    3. クラスターを見つけて、そのIDをクリックします。

    4. 左側のナビゲーションウィンドウで、[設定と管理] > [セキュリティ管理] を選択します。

    5. [TDE設定] タブで、[TDEステータス] をオンにします。

      Enable TDE for a PolarDB for MySQL cluster

    6. [TDEの設定] ダイアログボックスで、[KMSのデフォルトキーの使用] または [既存のカスタムキーの使用] を選択します。

      Use a key that is automatically generated by Alibaba Cloud

      説明

      TDEは、Aliyun_AES_256およびAliyun_SM4キーをサポートしています。

      • 表示されるダイアログボックスで、[KMSのデフォルトキーを使用] を選択し、[OK] をクリックします。

      • [既存のカスタムキーを使用] を選択した場合、ドロップダウンリストからKMSによって生成されたキーを選択し、[OK] をクリックします。 Custom key

        説明

        • カスタムキーがない場合は、[KMSコンソールに移動] をクリックする必要があります。 KMSコンソールでは、キーを作成し、独自のキーマテリアルをインポートできます。 詳細については、CMK の作成をご参照ください。

        • TDEに既存のカスタムキーを使用する場合は、次の情報に注意してください。

          • キーを無効にするか、キーを削除する計画を設定するか、キーマテリアルを削除すると、キーは使用できなくなります。

          • PolarDB for MySQLクラスターへの権限付与を取り消すと、クラスターの再起動後にクラスターは使用できなくなります。

          • Alibaba CloudアカウントまたはAliyunSTSAssumeRoleAccess権限を持つアカウントを使用する必要があります。

      TDEを有効にするには約10分かかります。

    拡張設定

    説明

    詳細設定機能を有効にできるのは、クラスターバージョンがPolarDB for MySQL 8.0で、マイナーカーネルバージョンが8.0.1.1.15以降の場合のみです。

    TDEを有効にすると、[TDEの構成] ダイアログボックスで [詳細設定] 機能を有効にできます。 この機能を有効にすると、新しく作成されたすべてのテーブルが自動的に暗号化されます。 Enable advanced settings

    テーブルの暗号化と復号化

    説明

    [詳細設定] をオンにすると、作成されたテーブルは自動的に暗号化され、作成されたテーブルを手動で暗号化する必要はありません。 既存のテーブルでは、データを暗号化するために特定の操作を実行する必要があります。

    TDEを有効にした後にテーブルを暗号化または復号化するには、データベースにログインし、関連するDDLステートメントを実行する必要があります。 次の表に、異なるMySQLバージョンのPolarDB for MySQLクラスターでテーブルを暗号化および復号化するために実行されるDDLステートメントを示します。

    項目

    PolarDB for MySQL 5.6

    PolarDB for MySQL 5.7およびPolarDB for MySQL 8.0

    暗号化

    alter table <tablename> block_format=encrypted;
    alter table <tablename> encryption= 'Y';

    解読

    alter table <tablename> block_format=default;
    alter table <tablename> encryption= 'N';
    説明

    上記のalter tableステートメントを実行してテーブルを暗号化または復号化すると、テーブルはロックされます。