常に機密機能は、ApsaraDB RDS for MySQLインスタンスで保護するデータ列を暗号化します。 これにより、クラウドプラットフォーム上のソフトウェアとツールを使用して、権限のないユーザーが保護されたデータ列の平文にアクセスできなくなります。 これにより、保護されたデータ列は使用できますが、データベースユーザーには見えません。 このトピックでは、常に機密機能を有効にする方法について説明します。
前提条件
RDSインスタンスは、MySQL 5.7またはMySQL 8.0、および20231215以降のマイナーエンジンバージョンを実行します。
詳細については、「マイナーエンジンバージョンの更新」をご参照ください。
影響
常に機密機能を有効にしても、RDSインスタンスのパフォーマンスには影響しません。 ただし、常に機密機能を有効にした後、データ保護ルールを設定し、ルールで指定されているデータ列に対して操作を実行すると、RDSインスタンスのパフォーマンスが低下する可能性があります。
使用上の注意
常に機密機能を使用する前に、データ保護ルールを設定することをお勧めします。 詳細については、「データ保護ルールの管理」をご参照ください。
透過データ暗号化 (TDE) 機能と常時機密機能の両方を有効にすることを推奨します。 これにより、ディスクに保存されたデータをより安全に保護できます。 詳細については、「TDEの設定」をご参照ください。
常時機密機能を有効にし、データ保護ルールを設定するために使用するアカウントは、特権アカウントである必要があります。
課金ルール
N/A
手順
前提条件を満たすRDSインスタンスを作成します。 詳細については、「ApsaraDB RDS For MySQLインスタンスの作成」、「標準プライマリApsaraDB RDS for MySQLインスタンスのインスタンスタイプ (元のx86アーキテクチャ) 」、および「エコノミープライマリApsaraDB RDS for MySQLインスタンスのインスタンスタイプ (元のARMアーキテクチャ) 」をご参照ください。
説明既存のRDSインスタンスが前提条件を満たしている場合は、この手順をスキップします。
特権アカウントを作成します。 詳細については、「ApsaraDB RDS For MySQLインスタンスでのアカウントの作成」をご参照ください。
データベースを作成します。 詳細については、「データベースの管理」をご参照ください。
ApsaraDB RDSコンソールにログインし、[インスタンス] ページに移動します。 上部のナビゲーションバーで、RDSインスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、RDSインスタンスのIDをクリックします。
常に機密機能を有効にします。
警告常に機密機能を有効にすると、RDSインスタンスが再起動します。 オフピーク時にこの機能を有効にすることを推奨します。
左側のナビゲーションウィンドウで、[パラメーター] をクリックします。 [変更可能なパラメーター] タブで、loose_encdbパラメーターを検索し、このパラメーターをOnに設定します。 右上隅の [変更の適用] をクリックし、有効時間を選択して [OK] をクリックします。