すべてのプロダクト
Search
ドキュメントセンター

PolarDB:PolarDBクラスターのTDEの設定

最終更新日:Oct 14, 2024

透過的なデータ暗号化 (TDE) を使用すると、データファイルに対してリアルタイムのI/O暗号化と復号化を実行できます。 データは、ディスクに書き込まれる前に暗号化され、ディスクからメモリに読み出されるときに復号化されます。 PolarDBクラスターのTDEを有効にすると、PolarDBクラスター内のデータファイルのサイズは増加しません。 アプリケーションの設定を変更することなく、TDEを使用できます。

前提条件

  • PolarDB for MySQLクラスターは、次の要件を満たす必要があります。

    エディション

    データベースエンジン

    改訂版

    Cluster Edition

    MySQL 5.6

    5.6.1.0.21以降

    MySQL 5.7

    5.7.1.0.3以降

    MySQL 8.0.1およびMySQL 8.0.2

    8.0.1.1.1以降

    Standard Edition

    MySQL 5.7

    5.7.1.0.3以降

    MySQL 8.0.1およびMySQL 8.0.2

    8.0.1.1.1以降

背景情報

PolarDB for MySQLのTDEは、AES (Advanced Encryption Standard) アルゴリズムを採用しています。 鍵長は256ビットです。 TDEで使用されるキーは、KMSによって生成および管理されます。 PolarDB for MySQLはキーまたは証明書を提供しません。 一部のゾーンでは、Alibaba Cloudによって自動的に生成されるキーを使用できます。 独自のキーマテリアルを使用してキーを生成することもできます。 次に、PolarDB for MySQLにこれらのキーを使用する権限を付与します。

注意事項

  • I/Oバインドシナリオでは、TDEがデータベースのパフォーマンスに悪影響を与える可能性があります。

  • TDEは、グローバルデータベースネットワーク (GDN) に参加したクラスターで有効にできます。 GDNのプライマリクラスターでTDEを有効にすると、デフォルトでGDNのセカンダリクラスターでTDEが有効になります。 セカンダリクラスターで使用されるキーと、存在するキーのリージョンは、プライマリクラスターと同じである必要があります。 キーのリージョンは変更できません。

  • GDNのセカンダリクラスターでTDEを有効にすることはできません。

手順

重要
  • PolarDB for MySQLクラスターのTDEを有効にすると、クラスターは自動的に再起動されます。 作業は慎重に行ってください。

  • TDEを有効にすると、TDEを無効にすることはできません。

  1. PolarDBコンソールにログインします。

  2. 左上隅で、クラスターがデプロイされているリージョンを選択します。

  3. クラスターを見つけて、そのIDをクリックします。

  4. 左側のナビゲーションウィンドウで、設定と管理 > セキュリティ管理を選択します。

  5. TDE設定タブで、TDEステータスをオンにします。

    MySQL开通TDE

  6. [TDEの設定] ダイアログボックスで、[KMSのデフォルトキーの使用] または [既存のカスタムキーの使用] を選択します。

    使用阿里云自动生成的密钥

    説明

    TDEは、Aliyun_AES_256およびAliyun_SM4キーをサポートしています。

    • 表示されるダイアログボックスで、[KMSのデフォルトキーを使用] を選択し、[OK] をクリックします。

    • [既存のカスタムキーを使用] を選択した場合、ドロップダウンリストからKMSによって生成されたキーを選択し、[OK] をクリックします。 自定义密钥

      説明
      • カスタムキーがある場合は、次の要件が満たされていることを確認してください。

        • キー管理サービス (KMS) が有効化されています。 詳細については、「KMSの有効化」をご参照ください。

        • PolarDBクラスターがKMSへのアクセスを許可されています。 詳細については、「PolarDBクラスターによるKMSへのアクセス許可」をご参照ください。

        • Alibaba CloudアカウントまたはAliyunSTSAssumeRoleAccess権限を持つアカウントを使用する必要があります。

      • カスタムキーがない場合は、[KMSコンソールに移動] をクリックする必要があります。 KMSコンソールでは、キーを作成し、独自のキーマテリアルをインポートできます。 詳細については、CMK の作成をご参照ください。

      • TDEに既存のカスタムキーを使用する場合は、次の情報に注意してください。

        • キーを無効にするか、キーを削除する計画を設定するか、キーマテリアルを削除すると、キーは使用できなくなります。

        • PolarDB for MySQLクラスターへの権限付与を取り消すと、クラスターの再起動後にクラスターは使用できなくなります。

    TDEを有効にするには約10分かかります。

拡張設定

説明

クラスターのバージョンが次の場合にのみ、[詳細設定] 機能を有効にできます。

  • PolarDB for MySQLは8.0し、リビジョンバージョンは8.0.1.1.15以降です。

  • PolarDB for MySQLが5.7し、リビジョンバージョンは5.7.1.0.35以降です。

TDEを有効にすると、[TDEの構成] ダイアログボックスで [詳細設定] 機能を有効にできます。 この機能を有効にすると、新しく作成されたすべてのテーブルが自動的に暗号化されます。开启高级选项

テーブルの暗号化と復号化

説明

[詳細設定] をオンにすると、作成されたテーブルは自動的に暗号化され、作成されたテーブルを手動で暗号化する必要はありません。 既存のテーブルでは、データを暗号化するために特定の操作を実行する必要があります。

TDEを有効にした後にテーブルを暗号化または復号化するには、データベースにログインし、関連するDDLステートメントを実行する必要があります。 次の表に、異なるMySQLバージョンのPolarDB for MySQLクラスターでテーブルを暗号化および復号化するために実行されるDDLステートメントを示します。

項目

PolarDB MySQL 5.6

PolarDB MySQL 5.7とPolarDB MySQL 8.0

暗号化

alter table <tablename> block_format=encrypted;
alter table <tablename> encryption= 'Y';

解読

alter table <tablename> block_format=default;
alter table <tablename> encryption= 'N';
説明

上記のalter tableステートメントを実行してテーブルを暗号化または復号化すると、テーブルはロックされます。