RDS MySQL提供免費的雲端硬碟加密功能,該功能基於Block Storage對整個資料盤進行加密,即使資料備份泄露也無法解密,能夠保護您的資料安全。您無需對現有應用程式做任何修改,同時您的快照資料將自動繼承加密屬性。更多資料庫加密技術介紹和對比,請參見不同資料庫加密技術對比。
其他引擎的雲端硬碟加密請參見:
前提條件
僅在建立RDS MySQL執行個體時可以開啟雲端硬碟加密,建立執行個體後無法開啟。
建立執行個體的方式為標準建立。
建立執行個體時儲存類型需要為雲端硬碟。
建立執行個體時產品系列需要為高可用系列或叢集系列。
計費
雲端硬碟加密為免費功能,您在磁碟上的任何讀寫操作都不會產生額外費用。
應用限制
開啟雲端硬碟加密的執行個體不支援秒級備份和跨地區備份。
注意事項
雲端硬碟加密功能開啟後無法關閉。
雲端硬碟加密不會影響您的業務,應用程式也無需修改。
開啟雲端硬碟加密後,執行個體產生的快照以及通過這些快照建立的雲端硬碟版執行個體將自動延續加密屬性。
Key Management Service欠費會導致雲端硬碟無法解密,整個執行個體不可用,請確保KMS狀態正常。
當您禁用或刪除了KMS密鑰,將導致使用了該KMS密鑰的RDS執行個體無法正常工作,執行個體被鎖定無法訪問。同時,所有的營運操作將無法進行,包括但不限於備份執行個體、變更執行個體配置、複製執行個體、重啟執行個體、HA切換以及修改參數等。為了避免此類情況的發生,建議您使用RDS託管的服務密鑰(Default Service CMK)。
如果您選擇的執行個體規格為通用規格,只支援使用RDS託管的服務密鑰(Default Service CMK)建立雲端硬碟加密執行個體。獨享型規格執行個體支援RDS託管的服務密鑰(Default Service CMK)、使用者自訂密鑰建立雲端硬碟加密執行個體。詳情請參見【產品/功能變更】2024年01月15日起RDS建立雲端硬碟加密執行個體功能變更。
查看雲端硬碟加密的開啟狀態
訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在執行個體的基本資料地區,查看是否有密鑰參數,如有即表示執行個體已開啟雲端硬碟加密。
開啟雲端硬碟加密
建立RDS MySQL執行個體時,產品系列選擇高可用系列或叢集系列,儲存類型選擇任意一種雲端硬碟類型,並勾選右側雲端硬碟加密,然後選擇相應的密鑰。
密鑰的建立請參見建立密鑰。
建立執行個體後您可以在執行個體基本資料頁面查看到雲端硬碟加密的密鑰。
在Key Management Service控制台可以查看當前帳號下的所有密鑰。在密鑰管理 > 預設密鑰頁簽中,密鑰用法為服務密鑰時即為阿里雲產品託管密鑰。RDS託管密鑰別名為
alias/acs/rds,如果您未找到該密鑰,表示在該地區下還未建立服務密鑰。在RDS控制台開啟雲端硬碟加密時,選擇服務密鑰(Default Service CMK),系統會自動建立。RDS託管的服務密鑰(Default Service CMK)規格為
Aliyun_AES_256,預設未開啟密鑰輪轉服務。如果您需要開啟密鑰輪轉服務,請登入Key Management Service控制台進行購買,詳情請參見密鑰輪轉。
相關API
API | 描述 |
建立RDS執行個體。 |