RDS PostgreSQL提供免費的雲端硬碟加密功能,能夠確保RDS PostgreSQL雲端硬碟中的資料得到安全保護,您無需對現有應用程式做任何修改,同時您的快照資料將自動繼承加密屬性。
背景資訊
雲端硬碟加密能夠保障儲存的資料安全,您的業務和應用程式無需做額外的改動。同時該雲端硬碟產生的快照及這些快照建立的雲端硬碟將自動延續加密屬性。
雲端硬碟加密為免費功能,您在磁碟上的任何讀寫操作將不會產生額外費用。
前提條件
雲端硬碟加密只能在建立執行個體時開啟,您必須參照操作步驟進行設定,才能在建立執行個體時設定雲端硬碟加密。
建立執行個體時,產品系列、儲存類型和規格分類需要按照以下要求配置:
產品系列:基礎系列、高可用系列、叢集系列
儲存類型:ESSD雲端硬碟、通用雲端硬碟
暫不支援Serverless執行個體。
注意事項
雲端硬碟加密功能開啟後無法關閉。
開啟雲端硬碟加密的執行個體不支援跨地區備份。
雲端硬碟加密不會影響您的業務,應用程式也無需修改。
開啟雲端硬碟加密後,執行個體產生的快照以及通過這些快照建立的雲端硬碟版執行個體將自動延續加密屬性。
Key Management Service欠費會導致雲端硬碟無法解密,整個執行個體不可用,請確保KMS狀態正常。
當您禁用或刪除了KMS密鑰,將導致使用了該KMS密鑰的RDS執行個體無法正常工作,執行個體被鎖定無法訪問。同時,所有的營運操作將無法進行,包括但不限於備份執行個體、變更執行個體配置、複製執行個體、重啟執行個體、HA切換以及修改參數等。為了避免此類情況的發生,建議您使用RDS託管的服務密鑰(Default Service CMK)。
如果您選擇的執行個體規格為通用規格,只支援使用RDS託管的服務密鑰(Default Service CMK)建立雲端硬碟加密執行個體。獨享型規格執行個體支援RDS託管的服務密鑰(Default Service CMK)、使用者自訂密鑰建立雲端硬碟加密執行個體。詳情請參見【產品/功能變更】2024年01月15日起RDS建立雲端硬碟加密執行個體功能變更。
操作步驟
建立密鑰。
RDS PostgreSQL雲端硬碟加密需要使用Key Management Service,具體請參見購買和啟用KMS執行個體。
開啟雲端硬碟加密。
建立RDS PostgreSQL時,如果滿足前提條件,則可以在選擇儲存類型後,勾選雲端硬碟加密,然後選擇相應的密鑰。預設選擇RDS託管的服務密鑰(Default Service CMK)(推薦使用)。
說明建立執行個體後您可以在執行個體基本資料頁面查看到雲端硬碟加密的密鑰。
在Key Management Service控制台可以查看當前帳號下的所有密鑰。在密鑰管理 > 預設密鑰頁簽中,密鑰用法為服務密鑰時即為阿里雲產品託管密鑰。RDS託管密鑰別名為
alias/acs/rds,如果您未找到該密鑰,表示在該地區下還未建立服務密鑰。在RDS PostgreSQL控制台開啟雲端硬碟加密時,選擇服務密鑰(Default Service CMK),系統會自動建立。RDS託管的服務密鑰(Default Service CMK)規格為
Aliyun_AES_256,預設未開啟密鑰輪轉服務。如果您需要開啟密鑰輪轉服務,請登入Key Management Service控制台進行購買,詳情請參見密鑰輪轉。