すべてのプロダクト
Search

このプロダクト

    ApsaraDB RDS:クラウドディスク暗号化機能の使用

    ドキュメントセンター

    ApsaraDB RDS:クラウドディスク暗号化機能の使用

    最終更新日:Jun 14, 2024

    クラウドディスクの暗号化機能は、ApsaraDB RDS for MySQLによって無料で提供されます。 この機能は、ブロックストレージを使用してApsaraDB RDS for MySQLインスタンスの各ディスクのデータを暗号化し、データのセキュリティを確保します。 このようにして、データが漏洩しても復号化できません。 RDSインスタンスにクラウドディスク暗号化機能を使用する場合、RDSインスタンス用に作成されたスナップショットは自動的に暗号化され、アプリケーションの設定を変更する必要はありません。

    さまざまなデータベースエンジンを実行するRDSインスタンスにクラウドディスク暗号化機能を設定する方法の詳細については、以下のトピックを参照してください。

    前提条件

    • RDSインスタンスが作成中です。 RDSインスタンスの作成後、クラウドディスクの暗号化機能を有効にすることはできません。 詳細については、「ApsaraDB RDS for MySQL インスタンスの作成」をご参照ください。

    • RDSインスタンスはクラウドディスクを使用しています。 詳細については、「ストレージタイプ」をご参照ください。

    • RDSインスタンスは、RDS High-availability EditionまたはRDS Cluster Editionを実行します。 詳細については、「ApsaraDB RDSエディションの概要」をご参照ください。

    • RDSインスタンスの課金方法がサーバーレスではありません。

    • RDSインスタンスは標準モードで作成されています。

    課金ルール

    クラウドディスクの暗号化機能は無料で提供されます。 暗号化されたクラウドディスクで実行した読み取りおよび書き込み操作に対しては課金されません。

    制限事項

    クラウドディスク暗号化機能が有効になっているRDSインスタンスでは、1桁のセカンドバックアップ機能とクロスリージョンバックアップ機能はサポートされていません。 詳細については、「クロスリージョンバックアップ機能の使用」をご参照ください。

    使用上の注意

    • クラウドディスクの暗号化機能を有効にした後は無効にすることはできません。

    • クラウドディスクの暗号化機能はビジネスを中断することはなく、アプリケーションを変更する必要はありません。

    • RDSインスタンスのクラウドディスク暗号化機能を有効にすると、RDSインスタンス用に作成されたスナップショットは自動的に暗号化されます。 暗号化されたスナップショットを使用してクラウドディスクを使用するRDSインスタンスを作成すると、新しいRDSインスタンスに対してクラウドディスクの暗号化機能が自動的に有効になります。

    • Key Management Service (KMS) の期限が過ぎた場合、RDSインスタンスのクラウドディスクは使用できなくなります。 KMSが通常どおりサービスを提供できることを確認してください。 詳細については、「KMSとは何ですか? 」をご参照ください。

    • クラウドディスクの暗号化に使用されるKMSキーを無効化または削除した場合、RDSインスタンスは期待どおりに実行できません。 この場合、RDSインスタンスはロックされており、アクセスできません。 さらに、RDSインスタンスですべてのO&M操作を実行することはできません。 たとえば、バックアップの実行、インスタンス仕様の変更、RDSインスタンスの複製と再起動、高可用性切り替えの実行、インスタンスパラメーターの変更はできません。 これらの問題を防ぐために、ApsaraDB RDSによって管理されるデフォルトのサービス顧客マスターキー (CMK) を使用することを推奨します。 デフォルトのサービスCMKはサービスキーです。

    • 汎用インスタンスタイプとクラウドディスクを使用するRDSインスタンスを作成する場合、デフォルトサービスCMKのみを選択して、RDSインスタンスのクラウドディスク暗号化機能を有効にできます。 専用インスタンスタイプとクラウドディスクを使用するRDSインスタンスを作成する場合、デフォルトサービスCMKまたはCMKを選択して、RDSインスタンスのクラウドディスク暗号化機能を有効にします。 詳細については、「 [製品の変更 /機能の変更] ApsaraDB RDSのクラウドディスク暗号化機能が2024年1月15日から調整されました」をご参照ください。

    RDSインスタンスのクラウドディスク暗号化機能が有効になっているかどうかを確認する

    1. [インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。

    2. [基本情報] セクションで、[キー] パラメーターが存在するかどうかを確認します。 パラメーターが存在する場合、RDSインスタンスのクラウドディスク暗号化機能が有効になります。

      密钥

    RDSインスタンスのクラウドディスク暗号化機能の有効化

    RDSインスタンスを作成するときに、[Edition] パラメーターを [High-availability Edition] に設定し、ESSDストレージタイプを選択し、[Cloud Disk Encryption] を選択し、[Key] パラメーターを設定します。 詳細については、「ApsaraDB RDS For MySQLインスタンスの作成」をご参照ください。

    説明

    • キーの作成方法の詳細については、「キーの作成」をご参照ください。

    • RDSインスタンスの作成後、RDSインスタンスの [基本情報] ページに移動し、クラウドディスクの暗号化に使用されるキーを表示できます。

    • KMSコンソールでは、現在のアカウント内のすべてのキーを表示できます。 KMSコンソールの左側のナビゲーションウィンドウで、[キー] をクリックします。 表示されるページで、[デフォルトキー] タブをクリックし、表示するキーを見つけます。 [キーの使用] 列の値が [サービスキー] の場合、キーはAlibaba Cloudサービスによって管理されるサービスキーです。 ApsaraDB RDSが管理するサービスキーのエイリアスはalias/acs/rdsです。 キーが見つからない場合、そのリージョンにサービスキーは作成されていません。 ApsaraDB RDSコンソールでインスタンスの作成中にクラウドディスク暗号化機能を有効にし、[Default Service CMK] を選択した場合、システムは自動的にサービスキーを作成します。

    • デフォルトサービスCMKのキー仕様はAliyun_AES_256です。 キーローテーション機能はデフォルトで無効になっています。 キーローテーション機能を有効にする場合は、KMSコンソールでキーローテーション機能を購入します。 詳細は、「キーローテーションの設定」をご参照ください。

    関連する API 操作

    API 操作

    説明

    CreateDBInstance

    インスタンスを作成します。