如您希望提高資料存放區的安全性,可以開啟雲端硬碟加密功能(免費)對整個資料盤進行加密,即使儲存資料或資料備份泄露也無法解密資料,保證您的資料安全。雲端硬碟加密開啟時無需任何應用側的代碼修改,開啟後對執行個體效能損耗極小且執行個體的快照備份也會自動繼承加密屬性。
雲端硬碟加密概述
加密原理
雲端硬碟加密功能採用行業標準的AES-256密碼編譯演算法對整塊資料盤進行加密。開啟雲端硬碟加密後,資料被寫入雲端硬碟時自動加密並以密文形式儲存,即使儲存資料或資料備份泄露也無法解密資料,提高雲端硬碟資料存放區的安全性。已授權使用者從雲端硬碟中讀取資料時會自動解密,無需任何應用側的代碼修改或適配。詳細加密原理請參見加密雲端硬碟。
加密金鑰
雲端硬碟加密所需密鑰由Key Management Service(KMS)提供,您可以使用KMS下的預設密鑰(含服務密鑰和主要金鑰)、軟體密鑰和硬體密鑰等多種類型祕密金鑰加密雲端硬碟,不同密鑰類型的區別如下:
密鑰類型 | 密碼編譯演算法 | 費用 | 建立者 | 密鑰材料來源 | 說明 | |
預設密鑰 | 服務密鑰 | AES_256 | 免費 | 雲產品代您建立與託管 | 不可刪除、禁用,每個使用者在同地區內只能持有一個專為RDS使用的服務密鑰。 | |
主要金鑰 | 使用者 | KMS產生/自訂上傳 | 可管理生命週期,每個使用者在同地區內只能持有一個主要金鑰。 | |||
軟體密鑰、硬體密鑰 | 收費 | 使用者 | KMS產生/自訂上傳 | 可管理生命週期,可建立多個密鑰。 | ||
如您的業務無執行個體間密鑰隔離需求且希望降低使用成本,可以選擇預設密鑰(含服務密鑰或主要金鑰),該類型免費但有數量限制,每個使用者在同一地區下只能持有一個主要金鑰和一個專為RDS使用的服務密鑰。
如您需要使用不同的金鑰組不同的RDS執行個體進行加密,或使用更豐富的功能(如憑據管理、簽名等),可以選擇購買軟體或硬體密鑰執行個體並建立相應密鑰,詳情請參見KMS密鑰選型。
適用範圍
RDS MySQL唯讀執行個體不支援手動開啟雲端硬碟加密。
RDS MySQL主執行個體需滿足以下條件才能開啟雲端硬碟加密:
儲存類型為雲端硬碟(ESSD雲端硬碟、高效能雲端硬碟或SSD雲端硬碟)。
主執行個體未掛載唯讀執行個體。如已掛載,需要先釋放唯讀執行個體後再開啟雲端硬碟加密,且此後基於該主執行個體建立的唯讀執行個體將預設啟用加密雲端硬碟。
已使用阿里雲主帳號授權RDS存取金鑰管理服務(KMS)。
費用說明
雲端硬碟加密功能免費,您在磁碟上的任何讀寫操作都不會產生額外費用。
雲端硬碟加密所需密鑰由KMS統一管理,使用預設密鑰(含服務密鑰和主要金鑰)不收費,使用軟體密鑰和硬體密鑰由KMS收費。
注意事項
雲端硬碟加密功能開啟後無法關閉。
執行個體閃斷:已有執行個體開啟雲端硬碟加密和更換密鑰會出現30秒左右的閃斷,請確保您的應用程式具有自動重連機制。
備份與恢複:開啟雲端硬碟加密後,執行個體不支援秒級備份、跨地區備份和下載備份。執行個體產生的快照備份以及通過這些快照備份建立的雲端硬碟執行個體將自動繼承加密屬性。
密鑰限制:執行個體規格對可選擇的KMS密鑰有所限制,KMS欠費、禁用或刪除密鑰會對部分已開啟雲端硬碟加密的執行個體造成影響。
密鑰選擇限制:通用規格執行個體僅支援選擇服務密鑰,獨享型規格執行個體可以選擇服務密鑰或其他類型的使用者自訂密鑰。
KMS欠費影響:如您使用了付費類型密鑰(如軟體密鑰和硬體密鑰等),當KMS欠費時,會導致使用付費類型祕密金鑰加密的雲端硬碟執行個體無法解密,整執行個體不可用,請及時續約KMS執行個體。
禁用或刪除密鑰影響:對於可自行管理生命週期的密鑰(如主要金鑰、軟體密鑰和硬體密鑰等),禁用或刪除密鑰會導致使用該密鑰的RDS執行個體被鎖定無法訪問,無法正常工作,所有營運操作無法進行(如備份、變更配置、重啟、HA切換等)。
開啟雲端硬碟加密
建立執行個體時開啟雲端硬碟加密
訪問RDS MySQL售賣頁,在頂部導覽列選擇標準建立。
儲存類型選擇雲端硬碟後,在右側勾選雲端硬碟加密。
選擇所需密鑰。
如需使用服務密鑰(免費):無論在當前地區下是否已建立服務密鑰,均可選擇Default Service CMK。
如需使用主要金鑰(免費)、軟體密鑰(收費)或硬體密鑰(收費):如已建立相應密鑰,可在下拉式清單中直接選擇;如未建立,可以單擊前往建立,在KMS控制台建立密鑰。
說明如您在當前地區下無服務密鑰,選擇Default Service CMK後,系統會自動建立別名為alias/acs/rds的服務密鑰。
已有服務密鑰時,在選擇Default Service CMK後不再建立服務密鑰,而會預設使用別名為alias/acs/rds的服務祕密金鑰加密(同一產品在同一地區下只有一個服務密鑰)。
其他參數可根據您的業務需求自行配置。支付成功後,您可以訪問RDS執行個體列表,單擊目標執行個體ID,在基本資料地區查看是否有相應密鑰,如有即表示執行個體已開啟雲端硬碟加密。
已有執行個體開啟雲端硬碟加密
已有執行個體開啟雲端硬碟加密會出現30秒左右的閃斷,請確保您的應用程式具有自動重連機制。
訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列單擊資料安全性。
在資料加密頁簽,單擊開啟雲端硬碟加密。
在彈窗中按需選擇密鑰,單擊確定。執行個體運行狀態會立即變為參數修改中。
等待一段時間後,當執行個體運行狀態重新變為運行中,且在資料加密頁簽下能看到相關加密資訊時,表示已成功開啟雲端硬碟加密。
更換密鑰
已開啟雲端硬碟加密且執行個體規格為獨享規格的RDS MySQL執行個體,可按照如下操作更換密鑰。通用規格的RDS MySQL執行個體只能使用服務密鑰,無法修改。
更換密鑰會出現30秒左右的閃斷,請確保您的應用程式具有自動重連機制。
訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列單擊資料安全性。
在資料加密頁簽,單擊更換密鑰。
在修改資料盤加密金鑰彈窗中,按需選擇密鑰,並單擊確定。
相關內容
透明資料加密TDE、雲端硬碟加密、全密態資料庫的區別請參見不同資料庫加密技術對比。
其他引擎使用雲端硬碟加密: