RDS MySQL提供免費的雲端硬碟加密功能,該功能基於Block Storage對整個資料盤進行加密,即使資料備份泄露也無法解密,能夠保護您的資料安全。您無需對現有應用程式做任何修改,同時您的快照資料將自動繼承加密屬性。更多資料庫加密技術介紹和對比,請參見不同資料庫加密技術對比。
其他引擎的雲端硬碟加密請參見:
前提條件
僅在建立RDS MySQL執行個體時可以開啟雲端硬碟加密,建立執行個體後無法開啟。
建立執行個體的方式為標準建立。
建立執行個體時儲存類型需要為雲端硬碟。
計費
雲端硬碟加密為免費功能,您在磁碟上的任何讀寫操作都不會產生額外費用。
使用限制
Serverless基礎系列執行個體暫不支援雲端硬碟加密功能,但Serverless高可用系列執行個體支援。
開啟雲端硬碟加密的執行個體不支援秒級備份和跨地區備份。
注意事項
雲端硬碟加密功能開啟後無法關閉。
雲端硬碟加密不會影響您的業務,應用程式也無需修改。
開啟雲端硬碟加密後,執行個體產生的快照以及通過這些快照建立的雲端硬碟版執行個體將自動延續加密屬性。
Key Management Service欠費會導致雲端硬碟無法解密,整個執行個體不可用,請確保KMS狀態正常。
當您禁用或刪除了KMS密鑰,將導致使用了該KMS密鑰的RDS執行個體無法正常工作,執行個體被鎖定無法訪問。同時,所有的營運操作將無法進行,包括但不限於備份執行個體、變更執行個體配置、複製執行個體、重啟執行個體、HA切換以及修改參數等。為了避免此類情況的發生,建議您使用RDS託管的服務密鑰(Default Service CMK)。
如果您選擇的執行個體規格為通用規格,只支援使用RDS託管的服務密鑰(Default Service CMK)建立雲端硬碟加密執行個體。獨享型規格執行個體支援RDS託管的服務密鑰(Default Service CMK)、使用者自訂密鑰建立雲端硬碟加密執行個體。詳情請參見【產品/功能變更】2024年01月15日起RDS建立雲端硬碟加密執行個體功能變更。
查看雲端硬碟加密的開啟狀態
訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在執行個體的基本資料地區,查看是否有密鑰參數,如有即表示執行個體已開啟雲端硬碟加密。
開啟雲端硬碟加密
建立RDS MySQL執行個體時,如果滿足前提條件,則可以在選擇儲存類型後,勾選雲端硬碟加密,然後選擇相應的密鑰。預設選擇RDS託管的服務密鑰(Default Service CMK)(推薦使用)。
密鑰的建立請參見建立密鑰。
建立執行個體後您可以在執行個體基本資料頁面查看到雲端硬碟加密的密鑰。
在Key Management Service控制台可以查看當前帳號下的所有密鑰。在密鑰管理 > 預設密鑰頁簽中,密鑰用法為服務密鑰時即為阿里雲產品託管密鑰。RDS託管密鑰別名為
alias/acs/rds
,如果您未找到該密鑰,表示在該地區下還未建立服務密鑰。在RDS控制台開啟雲端硬碟加密時,選擇服務密鑰(Default Service CMK),系統會自動建立。RDS託管的服務密鑰(Default Service CMK)規格為
Aliyun_AES_256
,預設未開啟密鑰輪轉服務。如果您需要開啟密鑰輪轉服務,請登入Key Management Service控制台進行購買,詳情請參見密鑰輪轉。
更換密鑰
已開啟雲端硬碟加密,且執行個體規格為獨享規格的RDS MySQL執行個體,可按照如下操作更換密鑰。
更換密鑰會發生主備切換,執行個體通常會出現不超過30秒的服務不可用,請確保您的應用程式具有自動重連機制。
通用規格的RDS MySQL執行個體只能使用服務密鑰,無法修改。
訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列單擊資料安全性。
在資料加密頁簽,單擊更換密鑰。
在修改資料盤加密金鑰彈窗中,選擇使用已有自訂密鑰,並單擊確定。