Tair (Redis OSS-compatible) は、透過的なデータ暗号化 (TDE) 機能を提供します。 この機能を使用すると、Redisデータベース (RDB) ファイルを暗号化および復号できます。 コンソールでTDEを有効にして、システムがRDBファイルを暗号化および復号化できるようにすることができます。 これにより、データのセキュリティとコンプライアンスが向上します。
前提条件
インスタンスはTair (Enterprise Edition) DRAMベースのインスタンスです。
インスタンスはクラシック (ローカルディスクベース) モードでデプロイされています。
インスタンスのマイナーバージョンは1.7.1以降です。 マイナーバージョンの更新方法については、「インスタンスのマイナーバージョンの更新」をご参照ください。
背景情報
Tair (Redis OSS-compatible) のTDE機能は、RDBファイルをディスクに書き込む前に暗号化し、RDBファイルをディスクからメモリに読み取るときに復号化します。 TDEはRDBファイルのサイズを増加させません。 TDEを使用する場合、クライアントを変更する必要はありません。
影響
TDE を有効にした後、無効にすることはできません。 TDEを有効にする前に、ビジネスへの影響を評価する必要があります。 次の影響に注意してください。
インスタンスに対してTDEを有効にすると、インスタンスをゾーン間で移行することはできません。 詳細については、「ゾーン間のインスタンスの移行」をご参照ください。
インスタンスに対してTDEを有効にすると、そのインスタンスでオフラインキー分析機能はサポートされません。 詳細については、「オフラインキー分析機能の使用」をご参照ください。
インスタンスに対してTDEを有効にすると、インスタンスを分散インスタンスの子インスタンスに変換することはできません。 詳細については、「分散インスタンスの作成」をご参照ください。
インスタンスに対してTDEを有効にすると、Data Transmission Service (DTS) を使用してインスタンスを移行または同期することはできません。
注意事項
TDEはインスタンスに対して有効にできますが、キーやデータベースに対しては有効にできません。
TDEは、ディスクに書き込まれるRDBファイル (dump.rdbなど) を暗号化します。
キー管理サービス (KMS) は、TDEによって使用されるキーを生成および管理します。 Tair (Redis OSS-compatible) は、暗号化に必要なキーまたは証明書を提供しません。 KMSの詳細については、「」をご参照ください。キー管理サービスとは
TDEが有効になっているインスタンスは、ごみ箱から復元できません。
手順
コンソールにログインし、[インスタンス] ページに移動します。 上部のナビゲーションバーで、インスタンスがデプロイされているリージョンを選択します。 次に、インスタンスを見つけてIDをクリックします。
左側のナビゲーションウィンドウで、TDE 設定.
TDEステータスの横にあるスイッチをオンにして、TDEを有効にします。
説明以前のマイナーバージョンが使用されている場合、スイッチは暗くなります。 インスタンスのマイナーバージョンを表示および更新する方法については、「インスタンスのマイナーバージョンの更新」をご参照ください。
表示されるダイアログボックスで、自動生成キーの使用またはカスタムキーの使用をクリックし、OK.
インスタンスの状態が TDE の変更中 から 使用中 に変わると、TDEは有効になります。
関連する API 操作
API 操作 | 説明 |
インスタンスのTDEを有効にします。 自動生成キーまたは既存のカスタムキーを使用できます。 | |
インスタンスに対してTDEが有効になっているかどうかを照会します。 | |
インスタンスがTDEを使用するために使用できるカスタムキーを照会します。 | |
インスタンスがTDEを使用するために使用できるカスタムキーの詳細を照会します。 | |
インスタンスへの接続に使用されるアカウントがKMSの使用を許可されているかどうかを照会します。 |
よくある質問
暗号化されたRDBファイルを復号化する方法?
RDBファイルは復号できません。 ファイルを新しいインスタンスに復元できます。 復元が完了すると、データは自動的に復号化されます。
クライアントが読み取ったデータが平文で表示されるのはなぜですか?
ディスクに書き込まれたRDBファイルのみが暗号化されます。 クライアントによって読み取られるデータは、メモリから読み取られ、暗号化されない。 それが平文で表示される理由です。