すべてのプロダクト
Search
ドキュメントセンター

ApsaraDB RDS:クラウドディスク暗号化機能の使用

最終更新日:Dec 11, 2024

クラウドディスクの暗号化機能は、ApsaraDB RDS for MySQLによって無料で提供されます。 この機能は、ブロックストレージを使用してApsaraDB RDS for MySQLインスタンスの各ディスクのデータを暗号化し、データのセキュリティを確保します。 このようにして、データが漏洩しても復号化できません。 RDSインスタンスにクラウドディスク暗号化機能を使用する場合、RDSインスタンス用に作成されたスナップショットは自動的に暗号化され、アプリケーションの設定を変更する必要はありません。 データベース暗号化テクノロジの詳細については、「異なるデータベース暗号化テクノロジの比較」をご参照ください。

さまざまなデータベースエンジンを実行するRDSインスタンスにクラウドディスク暗号化機能を設定する方法の詳細については、以下のトピックを参照してください。

前提条件

  • RDSインスタンスが作成中です。 RDSインスタンスの作成後、クラウドディスクの暗号化機能を有効にすることはできません。 詳細については、「ApsaraDB RDS for MySQL インスタンスの作成」をご参照ください。

  • RDSインスタンスは標準モードで作成されています。

  • RDSインスタンスはクラウドディスクを使用しています。 詳細については、「ストレージタイプ」をご参照ください。

  • RDSインスタンスは、RDS High-availability EditionまたはRDS Cluster Editionを実行します。 詳細については、「ApsaraDB RDSエディションの概要」をご参照ください。

課金ルール

クラウドディスクの暗号化機能は無料で提供されます。 暗号化されたクラウドディスクで実行した読み取りおよび書き込み操作に対しては課金されません。

制限事項

クラウドディスク暗号化機能が有効になっているRDSインスタンスでは、1桁のセカンドバックアップ機能とクロスリージョンバックアップ機能はサポートされていません。 詳細については、「クロスリージョンバックアップ機能の使用」をご参照ください。

使用上の注意

  • クラウドディスクの暗号化機能を有効にした後は無効にすることはできません。

  • クラウドディスクの暗号化機能はビジネスを中断することはなく、アプリケーションを変更する必要はありません。

  • RDSインスタンスのクラウドディスク暗号化機能を有効にすると、RDSインスタンス用に作成されたスナップショットは自動的に暗号化されます。 暗号化されたスナップショットを使用してクラウドディスクを使用するRDSインスタンスを作成すると、新しいRDSインスタンスに対してクラウドディスクの暗号化機能が自動的に有効になります。

  • Key Management Service (KMS) の期限が過ぎた場合、RDSインスタンスのクラウドディスクは使用できなくなります。 KMSが通常どおりサービスを提供できることを確認してください。 詳細については、「KMS の概要」をご参照ください。

  • クラウドディスクの暗号化に使用されるKMSキーを無効化または削除した場合、RDSインスタンスは期待どおりに実行できません。 この場合、RDSインスタンスはロックされており、アクセスできません。 さらに、RDSインスタンスですべてのO&M操作を実行することはできません。 たとえば、バックアップの実行、インスタンス仕様の変更、RDSインスタンスの複製と再起動、高可用性切り替えの実行、インスタンスパラメーターの変更はできません。 これらの問題を防ぐために、ApsaraDB RDSによって管理されるデフォルトのサービス顧客マスターキー (CMK) を使用することを推奨します。 デフォルトのサービスCMKはサービスキーです。

  • 汎用インスタンスタイプとクラウドディスクを使用するRDSインスタンスを作成する場合、デフォルトサービスCMKのみを選択して、RDSインスタンスのクラウドディスク暗号化機能を有効にできます。 専用インスタンスタイプとクラウドディスクを使用するRDSインスタンスを作成する場合、デフォルトサービスCMKまたはCMKを選択して、RDSインスタンスのクラウドディスク暗号化機能を有効にします。 詳細については、「 [製品の変更 /機能の変更] ApsaraDB RDSのクラウドディスク暗号化機能が2024年1月15日から調整されました」をご参照ください。

RDSインスタンスのクラウドディスク暗号化機能が有効になっているかどうかを確認する

  1. [インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。

  2. [基本情報] セクションで、[キー] パラメーターが存在するかどうかを確認します。 パラメーターが存在する場合、RDSインスタンスのクラウドディスク暗号化機能が有効になります。

    密钥

RDSインスタンスのクラウドディスク暗号化機能の有効化

前提条件に記載されている要件を満たすRDSインスタンスを作成する場合、インスタンスのストレージタイプを選択した後、[クラウドディスクの暗号化] を選択し、[キー] パラメーターを設定します。 Keyパラメーター (default Service CMK) のデフォルト値を維持することを推奨します。 詳細については、「ApsaraDB RDS For MySQLインスタンスの作成」をご参照ください。

説明
  • キーの作成方法の詳細については、「キーの作成」をご参照ください。

  • RDSインスタンスの作成後、RDSインスタンスの [基本情報] ページに移動し、クラウドディスクの暗号化に使用されるキーを表示できます。

  • KMSコンソールでは、現在のアカウント内のすべてのキーを表示できます。 KMSコンソールの左側のナビゲーションウィンドウで、[キー] をクリックします。 表示されるページで、[デフォルトキー] タブをクリックし、表示するキーを見つけます。 [キーの使用] 列の値が [サービスキー] の場合、キーはAlibaba Cloudサービスによって管理されるサービスキーです。 ApsaraDB RDSが管理するサービスキーのエイリアスはalias/acs/rdsです。 キーが見つからない場合、そのリージョンにサービスキーは作成されていません。 ApsaraDB RDSコンソールでインスタンスの作成中にクラウドディスク暗号化機能を有効にし、[デフォルトサービスCMK] を選択した場合、システムは自動的にサービスキーを作成します。

  • デフォルトサービスCMKのキー仕様はAliyun_AES_256です。 キーローテーション機能はデフォルトで無効になっています。 キーローテーション機能を有効にする場合は、KMSコンソールでキーローテーション機能を購入します。 詳細は、「キーローテーションの設定」をご参照ください。

クラウドディスク暗号化のキーの変更

インスタンスが専用RDS for MySQLインスタンスで、そのインスタンスに対してクラウドディスク暗号化が有効になっている場合、次の手順を実行してクラウドディスク暗号化のキーを変更できます。

重要
  • インスタンスのキーを変更すると、切り替えが実行され、インスタンスは最大30秒以内に使用できなくなります。 切り替え後、アプリケーションがインスタンスに自動的に再接続できることを確認します。

  • 汎用RDS for MySQLインスタンスのキーは変更できません。

  1. [インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。

  2. 左側のナビゲーションウィンドウで、[セキュリティコントロール] をクリックします。

  3. [データ暗号化] タブで、[キーの置換] をクリックします。

  4. [データディスクの暗号化キーの変更] ダイアログボックスで、[既存のカスタムキーを使用] を選択し、[OK] をクリックします。