ApsaraDB RDS:常に機密のデータベース機能を有効にする

手順

1. ApsaraDB RDS for PostgreSQLインスタンスを作成し、RDSインスタンスの常時機密データベース機能をサポートするインスタンスタイプを購入します。 詳細については、「ApsaraDB RDS For PostgreSQLインスタンスの作成」および「プライマリApsaraDB RDS for PostgreSQLインスタンスのインスタンスタイプ」をご参照ください。 常時機密データベースとインスタンスタイプ間の次のマッピングを満たす必要があります。

   • 常時機密データベース (ハードウェア拡張版): Intel SGXベースのセキュリティ拡張インスタンスタイプを使用するRDSインスタンス

     Intel SGXベースのセキュリティ強化インスタンスタイプ

     次の表に、Intel SGXベースのセキュリティ強化インスタンスタイプを購入できるリージョンを示します。

     リージョン	Zone
     中国 (杭州)	北京 (中国北部) ゾーンK
     中国 (上海)	上海ゾーンBと上海ゾーンL
     中国 (北京)	北京ゾーンIと北京ゾーンK
     中国 (香港)	香港ゾーンBおよび香港ゾーンD

     RDSエディション	インスタンスファミリー	インスタンスタイプ	CPUコア数とメモリ容量	暗号化メモリ	最大接続数	最大IOPS	ストレージ容量
     RDS高可用性エディション	Intel SGXベースのセキュリティ強化インスタンスファミリー	pg.x4t.medium.2c	2 コア 8 GB	4 GB	400	詳細については、「IOPS」をご参照ください。	PL1 ESSD: 20 GB〜64,000 GB PL2 ESSD: 500 GB〜64,000 GB PL3 ESSD: 1,500 GB〜64,000 GB
     		pg.x4t.large.2c	4 コア 16 GB	8 GB	800
     		pg.x4t.xlarge.2c	8 コア 32 GB	16 GB	1,600
     		pg.x4t.2 xlarge.2c	16 コア 64 GB	32 GB	3,200
     		pg.x4t.4 xlarge.2c	32 コア 128 GB	64 GB	6,400

   • 常時機密データベース (基本版): 他のインスタンスタイプを使用するRDSインスタンス

     説明

     • RDSインスタンスのマイナーエンジンバージョンは20230830以降である必要があります。

     • サーバーレスRDSインスタンスはサポートされていません。

     • YiTian RDSインスタンスはサポートされていません。

2. RDSインスタンスの拡張インストール権限を持つ特権アカウントを作成します。 詳細については、「アカウントの作成」をご参照ください。

3. RDSインスタンスにデータベースを作成します。 詳細については、「データベースの作成」をご参照ください。

4. 特権アカウントを使用してデータベースを接続した後、次のSQLステートメントを実行して、常に機密のデータベース機能を提供する拡張機能をインストールし、その機能を有効にします。

   説明

   RDSインスタンスへの接続方法の詳細については、「ApsaraDB RDS For PostgreSQLインスタンスへの接続」をご参照ください。

   -- Install the EncDB extension.
   CREATE EXTENSION encdb;

次に何をすべきか

常時機密データベース機能を使用する前に、ビジネス要件に基づいて機密データを定義する必要があります。 詳細については、「機密データの定義」をご参照ください。