常に機密機能は、ApsaraDB RDS for MySQLインスタンスで保護するデータ列を暗号化します。 これにより、クラウドプラットフォーム上のソフトウェアとツールを使用して、権限のないユーザーが保護されたデータ列の平文にアクセスできなくなります。 これにより、保護されたデータ列は使用できますが、データベースユーザーには見えません。 このトピックでは、常に機密機能を有効にする方法について説明します。
前提条件
RDSインスタンスは、MySQL 5.7またはMySQL 8.0、および20240731以降のマイナーエンジンバージョンを実行します。
詳細については、「マイナーエンジンバージョンの更新」をご参照ください。
影響
常に機密機能を有効にしても、RDSインスタンスのパフォーマンスには影響しません。 ただし、常に機密機能を有効にした後、データ保護ルールを設定し、ルールで指定されているデータ列に対して操作を実行すると、RDSインスタンスのパフォーマンスが低下する可能性があります。
データの読み取りだけでなく書き込みも行う常時機密機能をビジネスで使用する場合は、Alibaba Cloudが提供するドライバーをビジネスに統合する必要があります。 そうしないと、暗号化されたデータがデータベースに書き込まれ、操作できなくなります。
使用上の注意
常に機密機能を使用する前に、データ保護ルールを設定することをお勧めします。 詳細については、「データ保護ルールの管理」をご参照ください。
透過データ暗号化 (TDE) 機能と常時機密機能の両方を有効にすることを推奨します。 これにより、ディスクに保存されたデータをより安全に保護できます。 詳細については、「TDEの設定」をご参照ください。
常時機密機能を有効にし、データ保護ルールを設定するために使用するアカウントは、特権アカウントである必要があります。
課金ルール
非該当
手順
前提条件を満たすRDSインスタンスを作成します。 詳細については、「ApsaraDB RDS For MySQLインスタンスの作成」、「標準プライマリApsaraDB RDS for MySQLインスタンスのインスタンスタイプ (元のx86アーキテクチャ) 」、および「エコノミープライマリApsaraDB RDS for MySQLインスタンスのインスタンスタイプ (元のARMアーキテクチャ) 」をご参照ください。
説明既存のRDSインスタンスが前提条件を満たしている場合は、この手順をスキップします。
特権アカウントを作成します。 詳細については、「ApsaraDB RDS For MySQLインスタンスでのアカウントの作成」をご参照ください。
データベースを作成します。 詳細については、「データベースの管理」をご参照ください。
ApsaraDB RDSコンソールにログインし、[インスタンス] ページに移動します。 上部のナビゲーションバーで、RDSインスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、RDSインスタンスのIDをクリックします。
常に機密機能を有効にします。
警告常に機密機能を有効にすると、RDSインスタンスが再起動します。 オフピーク時にこの機能を有効にすることを推奨します。
左側のナビゲーションウィンドウで、[パラメーター] をクリックします。 [変更可能なパラメーター] タブで、loose_encdbパラメーターを検索し、このパラメーターをOnに設定します。 右上隅の [変更の適用] をクリックし、有効時間を選択して [OK] をクリックします。