ApsaraDB RDS for PostgreSQLは、クラウドディスクの暗号化機能を無料で提供し、データのセキュリティを確保します。 ApsaraDB RDS for PostgreSQLインスタンスにクラウドディスク暗号化機能を使用する場合、RDSインスタンス用に作成されたスナップショットは自動的に暗号化され、アプリケーションの設定を変更する必要はありません。
背景情報
クラウドディスクの暗号化により、データが保護され、ビジネスやアプリケーションの構成を変更する必要がなくなります。 さらに、ApsaraDB RDSは、暗号化されたクラウドディスクから生成されたスナップショットと、それらのスナップショットから作成されたクラウドディスクの両方に、クラウドディスクの暗号化を自動的に適用します。
クラウドディスクの暗号化機能は無料で提供されます。 暗号化されたクラウドディスクで実行した読み取りおよび書き込み操作に対しては課金されません。
前提条件
RDSインスタンスは次の要件を満たしています。
RDSインスタンスは、RDS Basic Edition、RDS High-availability Edition、またはRDS Cluster Editionを実行します。
RDSインスタンスは、エンタープライズSSD (ESSD) または一般的なESSDを使用します。
説明クラウドディスク暗号化機能は、サーバーレスRDSインスタンスではサポートされていません。
キー管理サービス (KMS) が有効化されています。 詳細については、「KMSインスタンスの購入と有効化」をご参照ください。
使用上の注意
クラウドディスクの暗号化機能はビジネスを中断することはなく、アプリケーションを変更する必要はありません。
RDSインスタンスのクラウドディスク暗号化機能を有効にすると、RDSインスタンス用に作成されたスナップショットは自動的に暗号化されます。 暗号化されたスナップショットを使用してクラウドディスクを使用するRDSインスタンスを作成すると、新しいRDSインスタンスに対してクラウドディスクの暗号化機能が自動的に有効になります。
KMSインスタンスが期限切れの場合、RDSインスタンスのクラウドディスクは復号化できません。 KMSインスタンスが正常であることを確認します。 詳細については、「Key Management Service の概要」をご参照ください。
クラウドディスクの暗号化に使用されるKMSキーを無効化または削除した場合、RDSインスタンスは期待どおりに実行できません。 この場合、RDSインスタンスはロックされており、アクセスできません。 さらに、RDSインスタンスですべてのO&M操作を実行することはできません。 たとえば、バックアップの実行、インスタンス仕様の変更、RDSインスタンスの複製または再起動、高可用性切り替えの実行、インスタンスパラメーターの変更はできません。 これらの問題を防ぐために、ApsaraDB RDSによって管理されるサービスキーを使用することを推奨します。
汎用インスタンスタイプとクラウドディスクを使用するRDSインスタンスを作成する場合、ApsaraDB RDSが管理するサービスキーのみを選択して、RDSインスタンスのクラウドディスク暗号化機能を有効にできます。 専用インスタンスタイプとクラウドディスクを使用するRDSインスタンスを作成する場合、ApsaraDB RDSまたはCMKによって管理されるサービスキーを選択して、RDSインスタンスのクラウドディスク暗号化機能を有効にすることができます。 詳細については、「 [製品の変更 /機能の変更] ApsaraDB RDSのクラウドディスク暗号化機能が2024年1月15日から調整されました」をご参照ください。
クラウドディスクの暗号化機能を有効または無効にするか、[データセキュリティ] ページの [データ暗号化] タブの機能設定を変更すると、RDSインスタンスが再起動され、一時的な接続が発生します。 RDS インスタンスに自動的に再接続するようにアプリケーションが設定されていることを確認してください。
クラウドディスク暗号化機能の有効化
新しいRDSインスタンスのクラウドディスク暗号化機能の有効化
前提条件が満たされ、RDSインスタンスが作成されている場合は、[ストレージタイプ] パラメーターの右側にある [ディスク暗号化] を選択し、[キー] を指定します。 詳細については、「前提条件」をご参照ください。 デフォルトのサービスCMKがデフォルトで選択されています。
RDSインスタンスを作成します。 詳細については、「ApsaraDB RDS for PostgreSQL インスタンスの作成」をご参照ください。
既存のRDSインスタンスのクラウドディスク暗号化機能の有効化
[インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
左側のナビゲーションウィンドウで、[セキュリティコントロール] をクリックします。
[データ暗号化] タブで、[暗号化の有効化] をクリックします。
表示されるダイアログボックスで、ビジネス要件に基づいてキーを選択し、[OK] をクリックします。
[自動生成キーを使用] を選択することを推奨します。 この値は、Alibaba Cloudによって自動的に生成され、ApsaraDB RDSによって管理されるサービスキーを指定します。
RDSインスタンスのクラウドディスク暗号化機能を有効にすると、RDSインスタンスのステータスが変わります。 RDSインスタンスのステータスが [実行中] に変わると、クラウドディスクの暗号化機能が有効になります。
RDSインスタンスの [基本情報] ページまたは [データセキュリティ] ページの [データ暗号化] タブに移動して、RDSインスタンスのクラウドディスク暗号化機能を有効にするために使用されるキーを表示できます。
KMSコンソールでは、現在のアカウント内のすべてのキーを表示できます。 Alibaba Cloudサービスで管理されているキーを表示するには、次の操作を実行します。KMSコンソールの左側のナビゲーションページで、[キー] をクリックします。 表示されるページで、[デフォルトキー] タブをクリックし、表示するキーを見つけます。 [キーの使用] 列の値が [サービスキー] の場合、キーはAlibaba Cloudサービスによって管理されるサービスキーです。 ApsaraDB RDSが管理するサービスキーのエイリアスは
alias/acs/rds
です。 キーが見つからない場合、そのリージョンにサービスキーは作成されていません。 ApsaraDB RDSコンソールでインスタンスの作成中にディスク暗号化機能を有効にし、[Default Service CMK] を選択すると、システムは自動的にサービスキーを作成します。デフォルトサービスCMKのキー仕様は
Aliyun_AES_256
です。 キーローテーション機能はデフォルトで無効になっています。 キーローテーション機能を有効にする場合は、KMSコンソールでキーローテーション機能を購入します。 詳細は、「キーローテーションの設定」をご参照ください。
クラウドディスクの暗号化機能の有効化に使用するサービスキーの変更
[インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
左側のナビゲーションウィンドウで、[セキュリティコントロール] をクリックします。
[データ暗号化] タブで、[キーの変更] をクリックします。
表示されるダイアログボックスで、ビジネス要件に基づいてキーを選択し、[OK] をクリックします。
クラウドディスクの暗号化機能を無効にする
[インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
左側のナビゲーションウィンドウで、[セキュリティコントロール] をクリックします。
[データ暗号化] タブで、[キーの変更] をクリックします。
表示されるダイアログボックスで、[キーを閉じる] を選択し、[OK] をクリックします。
関連する API
ModifyDBInstanceConfigを呼び出して、RDSインスタンスのクラウドディスク暗号化機能を有効、置換、または無効にすることができます。