常時機密データベース機能は、ApsaraDB RDS for MySQL インスタンスで保護するデータ列を暗号化します。これにより、クラウドプラットフォーム上のソフトウェアやツールを使用して、権限のないユーザーが保護されたデータ列のプレーンテキストにアクセスすることを防ぎます。また、暗号化されたデータ列はデータベースユーザーには見えないものの、復号後に使用できるようになります。このトピックでは、常時機密データベース機能を有効にする方法について説明します。
前提条件
RDS インスタンスで MySQL 5.7 または MySQL 8.0、および 20240731 以降のマイナーエンジンバージョンが実行されていること。
詳細については、「マイナーエンジンバージョンを更新する」をご参照ください。
影響
常時機密データベース機能を有効にすると、RDS インスタンスのパフォーマンスにわずかな影響があります。ただし、常時機密データベース機能を有効にした後、データ保護ルールを設定し、ルールで指定されたデータ列に対して操作を実行すると、RDS インスタンスのパフォーマンスが低下する可能性があります。
データの読み取りだけでなく書き込みも行われるビジネスで常時機密データベース機能を使用する場合は、Alibaba Cloud が提供するドライバーをビジネスに統合する必要があります。そうしないと、暗号化されたデータがデータベースに書き込まれ、操作できなくなる可能性があります。
注意事項
常時機密データベース機能を使用する前に、データ保護ルールを設定することをお勧めします。詳細については、「データ保護ルールを管理する」をご参照ください。
透過的データ暗号化(TDE)機能を有効にすることをお勧めします。これにより、ディスクに保存されているデータをより安全に保護できます。詳細については、「TDE を設定する」をご参照ください。
常時機密データベース機能を有効にし、データ保護ルールを設定するために使用するアカウントは、特権アカウントである必要があります。
課金ルール
この機能は無料で提供されます。
手順
前提条件を満たす RDS インスタンスを作成します。詳細については、「ApsaraDB RDS for MySQL インスタンスを作成する」、「標準プライマリ ApsaraDB RDS for MySQL インスタンスのインスタンスタイプ(オリジナル x86 アーキテクチャ)」、および「YiTian プライマリ ApsaraDB RDS for MySQL インスタンスのインスタンスタイプ(オリジナル ARM アーキテクチャ)」をご参照ください。
説明既存の RDS インスタンスが前提条件を満たしている場合は、この手順をスキップします。
特権アカウントを作成します。詳細については、「ApsaraDB RDS for MySQL インスタンスでアカウントを作成する」をご参照ください。
データベースを作成します。詳細については、「データベースを管理する」をご参照ください。
ApsaraDB RDS コンソールにログインし、[インスタンス] ページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけ、RDS インスタンスの ID をクリックします。
常時機密データベース機能を有効にします。
警告常時機密データベース機能を有効にすると、RDS インスタンスが再起動します。オフピーク時に機能を有効にすることをお勧めします。
左側のナビゲーションウィンドウで、[パラメーター] をクリックします。[変更可能なパラメーター] タブで、
loose_encdbパラメーターの値を [ON] に変更します。右上隅にある [変更の適用] をクリックし、有効時間を選択して、[OK] をクリックします。