ApsaraDB RDS:クラウドディスク暗号化機能の使用

前提条件

• RDSインスタンスが作成中です。 RDSインスタンスの作成後、クラウドディスクの暗号化機能を有効にすることはできません。 詳細については、「ApsaraDB RDS For MariaDBインスタンスの作成」をご参照ください。

• RDSインスタンスは標準モードで作成されています。

• RDSインスタンスのMariaDBバージョンに基づいて、RDSインスタンスのキーが作成されます。 異なるMariaDBバージョンは異なるキーをサポートします。 キーの作成方法の詳細については、「CMKの作成」をご参照ください。

  • MariaDB 10.3を実行するRDSインスタンスを作成し、RDSインスタンスのクラウドディスク暗号化機能を有効にする場合は、カスタマーマスターキー (CMK) のみを使用できます。

  • MariaDB 10.6を実行するRDSインスタンスを作成し、RDSインスタンスのクラウドディスク暗号化機能を有効にする場合は、次の項目に注意してください。

    • RDSインスタンスに汎用インスタンスタイプを選択した場合、ApsaraDB RDSで管理されているサービスキーのみを使用できます。

    • RDSインスタンスに専用インスタンスタイプを選択した場合、ApsaraDB RDSまたはCMKによって管理されているサービスキーを使用できます。

    説明

    サービスキーはApsaraDB RDSによって管理され、永続的に有効です。 ApsaraDB RDSコンソールでクラウドディスク暗号化機能を有効にすると、[デフォルトサービスCMK] を選択すると、システムは自動的にサービスキーを作成します。

課金ルール

クラウドディスクの暗号化機能は無料で提供されます。 暗号化されたディスクで実行した読み取りおよび書き込み操作に対しては課金されません。

使用上の注意

• クラウドディスクの暗号化機能を有効にした後は無効にすることはできません。

• クラウドディスクの暗号化機能はビジネスを中断することはなく、アプリケーションを変更する必要はありません。

• RDSインスタンスのクラウドディスク暗号化機能を有効にすると、RDSインスタンス用に作成されたスナップショットは自動的に暗号化されます。 暗号化されたスナップショットを使用してクラウドディスクを使用するRDSインスタンスを作成すると、新しいRDSインスタンスに対してクラウドディスクの暗号化機能が自動的に有効になります。

• Alibaba Cloud Key Management Service (KMS) が期限切れの場合、RDSインスタンスのクラウドディスクは復号化できません。 KMSが正常であることを確認してください。 詳細については、「KMSとは何ですか? 」をご参照ください。

• クラウドディスクの暗号化に使用されるKMSキーを無効化または削除した場合、RDSインスタンスは期待どおりに実行できません。 この場合、RDSインスタンスはロックされており、アクセスできません。 さらに、RDSインスタンスですべてのO&M操作を実行することはできません。 たとえば、バックアップの実行、インスタンス仕様の変更、RDSインスタンスの複製または再起動、高可用性切り替えの実行、インスタンスパラメーターの変更はできません。

  説明

  MariaDB 10.6を実行するRDSインスタンスでこれらの問題を回避するには、ApsaraDB RDSによって管理されるサービスキーを使用することを推奨します。

クラウドディスクの暗号化機能を有効にする

RDSインスタンスを作成するときに、ストレージタイプ パラメーターを設定し、ディスクを暗号化 を選択し、[キー] パラメーターを設定します。 詳細については、「ApsaraDB RDS For MariaDBインスタンスの作成」をご参照ください。

RDSインスタンスのクラウドディスク暗号化機能が有効になっているかどうかを確認する

1. [インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。

2. 基本情報 セクションで、キーパラメーターが存在するかどうかを確認します。 パラメーターが存在する場合、RDSインスタンスのクラウドディスク暗号化機能が有効になります。

   

関連する API 操作