RDS MariaDB提供免費的雲端硬碟加密功能,該功能基於Block Storage對整個資料盤進行加密,即使資料備份泄露也無法解密,能夠保護您的資料安全。您無需對現有應用程式做任何修改,同時您的快照資料將自動繼承加密屬性。
前提條件
僅在快速建立RDS MariaDB執行個體時可以開啟雲端硬碟加密,建立執行個體後無法開啟。
建立執行個體的方式為標準建立。
已根據待建立執行個體的版本建立密鑰。不同版本的MariaDB支援不同的密鑰。密鑰的建立請參見建立密鑰。
MariaDB 10.3:僅支援使用者自訂密鑰建立雲端硬碟加密。
MariaDB 10.6:
通用型規格:只支援使用RDS託管的服務密鑰(Default Service CMK)建立雲端硬碟加密執行個體。
獨享型規格:支援RDS託管的服務密鑰(Default Service CMK)、使用者自訂密鑰建立雲端硬碟加密執行個體。
說明服務密鑰(Default Service CMK)為RDS託管密鑰,永久有效。在RDS控制台開啟雲端硬碟加密時,選擇預設服務密鑰(Default Service CMK),系統會自動建立。
計費
雲端硬碟加密為免費功能,您在磁碟上的任何讀寫操作都不會產生額外費用。
注意事項
雲端硬碟加密功能開啟後無法關閉。
雲端硬碟加密不會影響您的業務,應用程式也無需修改。
開啟雲端硬碟加密後,執行個體產生的快照以及通過這些快照建立的雲端硬碟版執行個體將自動延續加密屬性。
Key Management Service欠費會導致雲端硬碟無法解密,整個執行個體不可用,請確保KMS狀態正常。
當您禁用或刪除了KMS密鑰,將導致使用了該KMS密鑰的RDS執行個體無法正常工作,執行個體被鎖定無法訪問。同時,所有的營運操作將無法進行,包括但不限於備份執行個體、變更執行個體配置、複製執行個體、重啟執行個體、HA切換以及修改參數等。
說明對於MariaDB 10.6執行個體,為了避免此類情況的發生,建議您使用RDS託管的服務密鑰(Default Service CMK)。
開啟雲端硬碟加密
快速建立RDS MariaDB執行個體時,選中儲存類型後,在右側選中雲端硬碟加密,然後選擇相應的密鑰。
密鑰的建立請參見建立密鑰。
建立執行個體後您可以在執行個體基本資料頁面查看到雲端硬碟加密的密鑰。
對於MariaDB 10.6執行個體,預設使用RDS託管的服務密鑰(Default Service CMK)建立雲端硬碟加密執行個體。RDS託管的服務密鑰(Default Service CMK)規格為
Aliyun_AES_256,預設未開啟密鑰輪轉服務。如果您需要開啟密鑰輪轉服務,請登入Key Management Service控制台進行購買,詳情請參見密鑰輪轉。在Key Management Service控制台可以查看當前帳號下的所有密鑰。在密鑰管理>預設密鑰頁簽中,密鑰用法為服務密鑰時即為阿里雲產品託管密鑰。RDS託管密鑰別名為
alias/acs/rds,如果您未找到該密鑰,表示在該地區下還未建立服務密鑰。在RDS控制台開啟雲端硬碟加密時,選擇服務密鑰(Default Service CMK),系統會自動建立。
查看雲端硬碟加密的開啟狀態
訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在執行個體的基本資料地區,查看是否有密鑰參數,如有即表示執行個體已開啟雲端硬碟加密。
相關API
API | 描述 |
建立RDS執行個體。 |