すべてのプロダクト
Search

このプロダクト

    PolarDB:暗号化ルールの管理

    ドキュメントセンター

    PolarDB:暗号化ルールの管理

    最終更新日:Jun 04, 2024

    で暗号化ルールを作成、変更、削除、有効化、および無効化できます。PolarDBコンソールにアクセスします。 このトピックでは、暗号化ルールを管理する方法について説明します。

    前提条件

    PolarDBのPolarProxyバージョンは2.8.36以降です。 PolarProxyのバージョンを表示または更新する方法については、「マイナーバージョンの更新」をご参照ください。

    制限事項

    • 暗号化ルールは、プライマリエンドポイントでは有効になりません。 クラスターエンドポイントまたはカスタムクラスターエンドポイントを使用する必要があります。

    • PolarDB Always Encrypted機能は、COM_QUERYコマンドのみをサポートします。 COM_STMT_PREPAREなどの他のコマンドタイプはサポートされていません。 EncJDBCはテキストプロトコルのみをサポートします。 バイナリプロトコルはサポートされていません。 準備されたステートメントを活用する操作は、常にテキストプロトコルのクエリで完了します。

    • PolarDB常に暗号化と動的マスキングを同時に有効にすることはできません。

    • 動的マスキングルールが存在する場合、PolarDB Always Encryptedを有効にするには、既存のマスキングルールをすべて削除し、タイプが暗号化の新しいルールを作成する必要があります。

    • CMKは、指定後に変更できません。 クラスター全体で同じCMKを使用します。

    • SecureGWをバイパスしてネイティブMySQLカーネルに直接接続すると、暗号化機能は有効になりません。 これを避けることをお勧めします。 不正アクセスの影響を最小限に抑えるために、ログ監査などの他のセキュリティ機能も有効にすることをお勧めします。

    暗号化ルールの作成

    1. PolarDB コンソールにログインします。

    2. コンソールの左上隅で、管理するクラスターがデプロイされているリージョンを選択します。

    3. クラスターを見つけて、そのIDをクリックします。

    4. 左側のナビゲーションウィンドウで、 [設定と管理]> [セキュリティ] を選択します。

    5. 表示されるページで、 [動的データマスキング /暗号化] タブをクリックします。

    6. [動的データマスキング /暗号化] タブで、 [追加] をクリックします。

    7. [ルールの作成] ダイアログボックスで、パラメーターを設定します。

      表 1 暗号化ルールの設定

      パラメーター

      必須

      説明

      基本情報

      ルール名

      暗号化ルールの名前。 名前の長さは最大30文字です。

      説明

      任意

      ルールの説明。 説明の長さは最大64文字です。

      有効化/無効化

      N/A

      有効化/無効化

      説明

      このスイッチはデフォルトでオンになっています。有効化/無効化

      Endpoint

      現在のルールが適用されるエンドポイント。

      設定

      データベースアカウント名

      任意

      ルールが適用されるデータベースアカウントの名前。 有効な値:

      • すべてのアカウント: ルールがクラスターのすべてのアカウントに適用されることを示します。 右側のテキストボックスは空のままにする必要があります。

      • 含む: ルールが指定されたデータベースアカウントにのみ適用されることを示します。 右側のテキストボックスに少なくとも1つのデータベースアカウント名を指定する必要があります。 複数のアカウントをコンマ (,) で区切ります。

      • 含まない: このセクションで指定されていないデータベースアカウントにのみルールが適用されることを示します。 右側のテキストボックスに少なくとも1つのデータベースアカウント名を指定する必要があります。 複数のアカウントをコンマ (,) で区切ります。

      説明

      データベースアカウント名は、次の形式にすることができます。

      • アカウント名 例: user

      • アカウント名 @ フルIPアドレス 例: user@10.1.1.1

      • アカウント名 @ IPアドレスとワイルドカード文字。 例: user@10.1.1.%user @ %.1.1.1、またはuser @ 1.%.1

      • アカウント名 @ IPアドレス /サブネットマスク 例: user@10.1.1.0/255.255.255.0

      データベース名

      任意

      ルールが適用されるデータベースの名前。 有効な値:

      • すべてのデータベース: ルールがクラスター内のすべてのデータベースに適用されることを示します。 右側のテキストボックスは空のままにする必要があります。

      • 含む: ルールが指定されたデータベースにのみ適用されることを示します。 右側のテキストボックスに少なくとも1つのデータベース名を指定する必要があります。 複数のデータベース名はコンマ (,) で区切ります。

      テーブル名

      任意

      ルールが適用されるテーブルの名前。 有効な値:

      • すべてのテーブル: ルールがクラスター内のすべてのテーブルに適用されることを示します。 右側のテキストボックスは空のままにする必要があります。

      • 含む: ルールが指定されたテーブルにのみ適用されることを示します。 右側のテキストボックスに少なくとも1つのテーブル名を指定する必要があります。 複数のテーブル名はコンマ (,) で区切ります。

      列名

      ルールが適用されるフィールドの名前。 複数のフィールド名を指定し、複数のフィールド名をコンマ (,) で区切ることができます。

    8. 表示されるメッセージで、 [OK] をクリックします。

    ルールの有効化または無効化

    1. PolarDB コンソールにログインします。

    2. コンソールの左上隅で、管理するクラスターがデプロイされているリージョンを選択します。

    3. クラスターを見つけて、そのIDをクリックします。

    4. 左側のナビゲーションウィンドウで、 [設定と管理]> [セキュリティ] を選択します。

    5. 表示されるページで、 [動的データマスキング /暗号化] タブをクリックします。

    6. ルールを見つけて、 [有効化 /無効化] 列のスイッチをオンまたはオフにします。

      image.png

      説明

      • リストで複数のルールを選択し、リストの下部にある 有効化 または 無効化 をクリックして、ルールを一括有効化または無効化できます。

      • 無効なルールは削除されません。 必要に応じて無効なルールを有効にできます。 無効化ルールは必要に応じて有効化できます。

    7. 表示されるダイアログボックスで、 [OK] をクリックします。

    暗号化ルールの変更

    1. PolarDB コンソールにログインします。

    2. コンソールの左上隅で、管理するクラスターがデプロイされているリージョンを選択します。

    3. クラスターを見つけて、そのIDをクリックします。

    4. 左側のナビゲーションウィンドウで、 [設定と管理]> [セキュリティ] を選択します。

    5. 表示されるページで、 [動的データマスキング /暗号化] タブをクリックします。

    6. 対象のルールを見つけ、 [操作] 列の [変更] をクリックします。 表示されるダイアログボックスで、パラメーターを設定します。

    7. [OK] をクリックします。

    暗号化ルールの削除

    1. PolarDB コンソールにログインします。

    2. コンソールの左上隅で、管理するクラスターがデプロイされているリージョンを選択します。

    3. クラスターを見つけて、そのIDをクリックします。

    4. 左側のナビゲーションウィンドウで、 [設定と管理]> [セキュリティ] を選択します。

    5. 表示されるページで、 [動的データマスキング /暗号化] タブをクリックします。

    6. 対象のルールを見つけて、削除で、アクション列を作成します。

    7. 表示されるダイアログボックスで、 [OK] をクリックします。