ApsaraDB RDS:完全暗号化データベース機能の有効化

手順

1. ApsaraDB RDS for PostgreSQLインスタンスを作成し、RDSインスタンスの完全暗号化データベース機能をサポートするインスタンスタイプを購入します。 詳細については、「ApsaraDB RDS For PostgreSQLインスタンスの作成」および「プライマリApsaraDB RDS for PostgreSQLインスタンスのインスタンスタイプ」をご参照ください。 完全暗号化データベースとインスタンスタイプ間の次のマッピングを満たす必要があります。

   • 完全に暗号化されたデータベース (ハードウェア拡張版): Intel SGXベースのセキュリティ拡張インスタンスタイプを使用するRDSインスタンス

     Intel SGXベースのセキュリティ強化インスタンスタイプ

     次の表に、Intel SGXベースのセキュリティ強化インスタンスタイプを購入できるリージョンを示します。

     リージョン	Zone
     中国 (杭州)	北京 (中国北部) ゾーンK
     中国 (上海)	上海ゾーンBと上海ゾーンL
     中国 (北京)	北京ゾーンIと北京ゾーンK
     中国 (香港)	香港ゾーンBおよび香港ゾーンD

     RDSエディション	インスタンスファミリー	インスタンスタイプ	CPUコア数とメモリ容量	暗号化メモリ	最大接続数	最大IOPS	ストレージ容量
     RDS高可用性エディション	Intel SGXベースのセキュリティ強化インスタンスファミリー	pg.x4t.medium.2c	2 コア 8 GB	4 GB	400	詳細については、「IOPS」をご参照ください。	PL1 ESSD: 20 GB〜64,000 GB PL2 ESSD: 500 GB〜64,000 GB PL3 ESSD: 1,500 GB〜64,000 GB
     		pg.x4t.large.2c	4 コア 16 GB	8 GB	800
     		pg.x4t.xlarge.2c	8 コア 32 GB	16 GB	1,600
     		pg.x4t.2 xlarge.2c	16 コア 64 GB	32 GB	3,200
     		pg.x4t.4 xlarge.2c	32 コア 128 GB	64 GB	6,400

   • 完全暗号化データベース (基本版): 他のインスタンスタイプを使用するRDSインスタンス

     説明

     • RDSインスタンスのマイナーエンジンバージョンは20230830以降である必要があります。

     • サーバーレスRDSインスタンスはサポートされていません。

     • エコノミーRDSインスタンスはサポートされていません。

2. RDSインスタンスの拡張インストール権限を持つ特権アカウントを作成します。 詳細については、「アカウントの作成」をご参照ください。

3. RDSインスタンスにデータベースを作成します。 詳細については、「データベースの作成」をご参照ください。

4. 特権アカウントを使用してデータベースを接続した後、次のSQL文を実行して、完全に暗号化されたデータベース機能を提供する拡張機能をインストールし、機能を有効にします。

   説明

   RDSインスタンスへの接続方法の詳細については、「ApsaraDB RDS For PostgreSQLインスタンスへの接続」をご参照ください。

   -- EncDB拡張をインストールします。
   拡張encdbを作成します。

次に何をすべきか

完全暗号化データベース機能を使用する前に、ビジネス要件に基づいて機密データを定義する必要があります。 詳細については、「機密データの定義」をご参照ください。