ApsaraDB RDS for PostgreSQL は、データセキュリティを確保するためにクラウドディスク暗号化機能を無料で提供しています。ApsaraDB RDS for PostgreSQL インスタンスでクラウドディスク暗号化機能を使用すると、RDS インスタンス用に作成されたスナップショットは自動的に暗号化され、アプリケーションの構成を変更する必要はありません。
背景情報
クラウドディスク暗号化はデータを保護し、ビジネスやアプリケーションの構成を変更する必要がなくなります。さらに、ApsaraDB RDS は、暗号化されたクラウドディスクから生成されたスナップショットと、それらのスナップショットから作成されたクラウドディスクの両方に、クラウドディスク暗号化を自動的に適用します。
クラウドディスク暗号化機能は無料で提供されます。暗号化されたクラウドディスクで実行する読み取りおよび書き込み操作に対しては課金されません。
前提条件
RDS インスタンスが次の要件を満たしていること:
RDS インスタンスが RDS Basic Edition、RDS High-availability Edition、または RDS Cluster Edition を実行していること。
RDS インスタンスがエンタープライズ SSD (ESSD) またはプレミアム ESSD を使用していること。
説明クラウドディスク暗号化機能は、サーバーレス RDS インスタンスではサポートされていません。
Key Management Service (KMS) が有効化されていること。詳細については、「KMS インスタンスの購入と有効化」をご参照ください。
使用上の注意
クラウドディスク暗号化機能はビジネスを中断させず、アプリケーションを変更する必要もありません。
RDS インスタンスでクラウドディスク暗号化機能を有効にすると、RDS インスタンス用に作成されたスナップショットは自動的に暗号化されます。暗号化されたスナップショットを使用してクラウドディスクを使用する RDS インスタンスを作成すると、新しい RDS インスタンスではクラウドディスク暗号化機能が自動的に有効になります。
KMS インスタンスの支払いが延滞している場合、RDS インスタンスのクラウドディスクは復号できません。KMS インスタンスが正常であることを確認してください。詳細については、「Key Management Service とは」をご参照ください。
クラウドディスク暗号化に使用される KMS キーを無効化または削除すると、RDS インスタンスは期待どおりに実行できなくなります。この場合、RDS インスタンスはロックされ、アクセスできなくなります。さらに、RDS インスタンスに対するすべての O&M 操作を実行できなくなります。たとえば、バックアップの実行、インスタンス仕様の変更、RDS インスタンスのクローン作成または再起動、高可用性スイッチオーバーの実行、インスタンスパラメーターの変更はできません。これらの問題を回避するために、ApsaraDB RDS によって管理されるサービスキーを使用することをお勧めします。
汎用インスタンスタイプとクラウドディスクを使用する RDS インスタンスを作成する場合、RDS インスタンスのクラウドディスク暗号化機能を有効にするには、ApsaraDB RDS が管理するサービスキーのみを選択できます。専用インスタンスタイプとクラウドディスクを使用する RDS インスタンスを作成する場合、ApsaraDB RDS が管理するサービスキーまたは CMK を選択して、RDS インスタンスのクラウドディスク暗号化機能を有効にすることができます。詳細については、「[製品の変更/機能の変更] ApsaraDB RDS のクラウドディスク暗号化機能は 2024 年 1 月 15 日から調整されます」をご参照ください。
[データセキュリティ] ページの [データ暗号化] タブでクラウドディスク暗号化機能を有効または無効にするか、機能設定を変更すると、RDS インスタンスが再起動され、一時的な切断が発生します。アプリケーションが RDS インスタンスに自動的に再接続するように設定されていることを確認してください。
クラウドディスク暗号化機能を有効にする
新しい RDS インスタンスでクラウドディスク暗号化機能を有効にする
前提条件が満たされ、RDS インスタンスが作成されている場合、[ストレージタイプ] パラメーターの右側にある [ディスク暗号化] を選択し、キーを指定できます。詳細については、「前提条件」をご参照ください。デフォルトでは、デフォルトのサービス CMK が選択されています。
RDS インスタンスを作成します。詳細については、「ApsaraDB RDS for PostgreSQL インスタンスの作成」をご参照ください。
既存の RDS インスタンスでクラウドディスク暗号化機能を有効にする
[インスタンス] ページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけて、インスタンスの ID をクリックします。
左側のナビゲーションウィンドウで、[データセキュリティ] をクリックします。
[データ暗号化] タブで、[暗号化を有効にする] をクリックします。
表示されるダイアログボックスで、必要に応じてキーを選択し、[OK] をクリックします。
[自動生成されたキーを使用] を選択することをお勧めします。この値は、Alibaba Cloud によって自動的に生成され、ApsaraDB RDS によって管理されるサービスキーを指定します。
RDS インスタンスのクラウドディスク暗号化機能を有効にすると、RDS インスタンスのステータスが変更されます。RDS インスタンスのステータスが [実行中] に変更されると、クラウドディスク暗号化機能が有効になります。
RDS インスタンスの [基本情報] ページ、または [データセキュリティ] ページの [データ暗号化] タブに移動して、RDS インスタンスのクラウドディスク暗号化機能を有効にするために使用されるキーを表示できます。
KMS コンソールでは、現在のアカウント内のすべてのキーを表示できます。Alibaba Cloud サービスによって管理されるキーを表示するには、次の操作を実行します。KMS コンソールの左側のナビゲーションページで、[キー] をクリックします。表示されるページで、[デフォルトキー] タブをクリックし、表示したいキーを見つけます。[キーの使用法] 列の値が [サービスキー] の場合、そのキーは Alibaba Cloud サービスによって管理されています。ApsaraDB RDS によって管理されるサービスキーのエイリアスは
alias/acs/rdsです。キーが見つからない場合は、そのリージョンにサービスキーが作成されていません。ApsaraDB RDS コンソールでインスタンスを作成する際にディスク暗号化を有効にし、デフォルトのサービス CMK を選択すると、システムは自動的にサービスキーを作成します。デフォルトのサービス CMK のキー仕様は
Aliyun_AES_256です。キーローテーション機能はデフォルトで無効になっています。キーローテーションを有効にしたい場合は、KMS コンソールでキーローテーション機能を購入してください。詳細については、「キーローテーションの設定」をご参照ください。
クラウドディスク暗号化機能を有効にするために使用されるサービスキーの変更
[インスタンス] ページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけて、インスタンスの ID をクリックします。
左側のナビゲーションウィンドウで、[データセキュリティ] をクリックします。
[データ暗号化] タブで、[キーの変更] をクリックします。
表示されるダイアログボックスで、必要に応じてキーを選択し、[OK] をクリックします。
クラウドディスク暗号化機能を無効にする
[インスタンス] ページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけて、インスタンスの ID をクリックします。
左側のナビゲーションウィンドウで、[データセキュリティ] をクリックします。
[データ暗号化] タブで、[キーの変更] をクリックします。
表示されるダイアログボックスで、[キーを閉じる] を選択し、[OK] をクリックします。
関連 API
ModifyDBInstanceConfig 操作を呼び出して、RDS インスタンスのクラウドディスク暗号化機能を有効化、置換、または無効化できます。