RDS PostgreSQL提供免費的雲端硬碟加密功能,能夠確保RDS PostgreSQL雲端硬碟中的資料得到安全保護,您無需對現有應用程式做任何修改,同時您的快照資料將自動繼承加密屬性。
背景資訊
雲端硬碟加密能夠保障儲存的資料安全,您的業務和應用程式無需做額外的改動。同時該雲端硬碟產生的快照及這些快照建立的雲端硬碟將自動延續加密屬性。
雲端硬碟加密為免費功能,您在磁碟上的任何讀寫操作將不會產生額外費用。
前提條件
RDS PostgreSQL執行個體滿足以下配置:
產品系列:基礎系列、高可用系列、叢集系列
儲存類型:ESSD雲端硬碟、通用雲端硬碟
說明暫不支援Serverless執行個體。
已開通Key Management Service,具體請參見購買和啟用KMS執行個體。
注意事項
雲端硬碟加密不會影響您的業務,應用程式也無需修改。
開啟雲端硬碟加密後,執行個體產生的快照以及通過這些快照建立的雲端硬碟版執行個體將自動延續加密屬性。
Key Management Service欠費會導致雲端硬碟無法解密,整個執行個體不可用,請確保KMS狀態正常。
當您禁用或刪除了KMS密鑰,將導致使用了該KMS密鑰的RDS執行個體無法正常工作,執行個體被鎖定無法訪問。同時,所有的營運操作將無法進行,包括但不限於備份執行個體、變更執行個體配置、複製執行個體、重啟執行個體、HA切換以及修改參數等。為了避免此類情況的發生,建議您使用RDS託管的服務密鑰(Default Service CMK)。
如果您選擇的執行個體規格為通用規格,只支援使用RDS託管的服務密鑰(Default Service CMK)建立雲端硬碟加密執行個體。獨享型規格執行個體支援RDS託管的服務密鑰(Default Service CMK)、使用者自訂密鑰建立雲端硬碟加密執行個體。詳情請參見【產品/功能變更】2024年01月15日起RDS建立雲端硬碟加密執行個體功能變更。
在資料安全性 > 資料加密頁,開啟、更換或關閉雲端硬碟加密將導致執行個體重啟,並出現閃斷現象。請確保您的應用程式具有自動重連機制。
開啟雲端硬碟加密
建立執行個體時開啟雲端硬碟加密
建立RDS PostgreSQL時,如果滿足前提條件,則可以在儲存類型後,勾選雲端硬碟加密,然後選擇相應的密鑰。預設選擇RDS託管的服務密鑰(Default Service CMK)(推薦使用)。
建立RDS PostgreSQL執行個體,請參見建立RDS PostgreSQL執行個體。
開啟已有執行個體的雲端硬碟加密
訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列單擊資料安全性。
在資料加密頁簽單擊開通加密。
在彈出的視窗中根據需要選擇密鑰後,單擊確定。
使用由阿里雲自動產生的密鑰,即使用RDS託管的服務密鑰(Default Service CMK)(推薦使用)。
開啟雲端硬碟加密的過程中,執行個體狀態將會發生變化。當執行個體狀態變為運行中時,表示已成功開啟雲端硬碟加密。
在RDS PostgreSQL執行個體基本資料頁和資料安全性 > 資料加密頁,可以查看雲端硬碟加密的密鑰。
在Key Management Service控制台可以查看當前帳號下的所有密鑰。在密鑰管理 > 預設密鑰頁簽中,密鑰用法為服務密鑰時即為阿里雲產品託管密鑰。RDS託管密鑰別名為
alias/acs/rds
,如果您未找到該密鑰,表示在該地區下還未建立服務密鑰。在RDS PostgreSQL控制台開啟雲端硬碟加密時,選擇服務密鑰(Default Service CMK),系統會自動建立。RDS託管的服務密鑰(Default Service CMK)規格為
Aliyun_AES_256
,預設未開啟密鑰輪轉服務。如果您需要開啟密鑰輪轉服務,請登入Key Management Service控制台進行購買,詳情請參見密鑰輪轉。
更換雲端硬碟加密金鑰
訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列單擊資料安全性。
在資料加密頁簽單擊更換加密。
在彈出的視窗中根據需要選擇密鑰後,單擊確定。
關閉雲端硬碟加密
訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列單擊資料安全性。
在資料加密頁簽單擊更換加密。
在彈出的視窗中選擇關閉密鑰後,單擊確定。
相關API
通過ModifyDBInstanceConfig - 修改RDS執行個體的配置項介面,可以為目標執行個體開啟、更換或關閉雲端硬碟加密功能。