RDS SQL Server提供免費的雲端硬碟加密功能,您可以在建立執行個體時開啟,該功能將對整個資料盤上的資料進行基於Block Storage的加密,能夠有效保障您的資料安全。開啟雲端硬碟加密功能不會影響您的業務,且您也無需對應用程式做任何修改。
前提條件
雲端硬碟加密功能僅支援在建立執行個體時開啟,執行個體建立後無法開啟。
建立執行個體時,儲存類型和執行個體規格需要按照以下要求配置:
儲存類型:SSD雲端硬碟、ESSD雲端硬碟、通用雲端硬碟(不支援Serverless執行個體)
執行個體規格:通用型、獨享型、共用型
通用型、獨享型:支援RDS託管的服務密鑰(Default Service CMK)、使用者自訂密鑰
共用型:僅支援RDS託管的服務密鑰(Default Service CMK)
費用說明
雲端硬碟加密為免費功能,您在磁碟上的任何讀寫操作都不會產生額外費用。
注意事項
Key Management Service欠費會導致雲端硬碟無法解密,整個執行個體不可用,請確保KMS狀態正常。
當您禁用或刪除了KMS密鑰,將導致使用了該KMS密鑰的RDS執行個體無法正常工作,執行個體被鎖定無法訪問。同時,所有的營運操作將無法進行,包括但不限於備份執行個體、變更執行個體配置、複製執行個體、重啟執行個體、HA切換以及修改參數等。為了避免此類情況的發生,建議您使用RDS託管的服務密鑰(Default Service CMK)。
使用限制
開啟了雲端硬碟加密的執行個體不支援升級核心小版本操作。
建立執行個體時開啟雲端硬碟加密
建立RDS SQL Server執行個體時儲存類型選擇SSD雲端硬碟、ESSD雲端硬碟或通用雲端硬碟。
勾選右側雲端硬碟加密,並選擇目標密鑰。
說明自訂密鑰的建立方法,請參見建立並啟動密鑰。
建立執行個體時請先勾選雲端硬碟加密選項,再選擇執行個體規格。
查看雲端硬碟加密狀態及密鑰詳情
訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在執行個體的基本資料頁面,查看雲端硬碟執行個體的密鑰。
說明若基本資料頁面未顯示密鑰,則說明該執行個體在建立時未開啟雲端硬碟加密功能。
雲端硬碟加密功能只能在建立執行個體時開啟,執行個體建立後無法開啟。
在Key Management Service控制台可以查看當前帳號下的所有密鑰。在密鑰管理 > 預設密鑰頁簽中,密鑰用法為服務密鑰時即為阿里雲產品託管密鑰。RDS託管密鑰別名為
alias/acs/rds
,如果您未找到該密鑰,表示在該地區下還未建立服務密鑰。在RDS控制台開啟雲端硬碟加密時,選擇服務密鑰(Default Service CMK),系統會自動建立。RDS託管的服務密鑰(Default Service CMK)規格為
Aliyun_AES_256
,預設未開啟密鑰輪轉服務。如果您需要開啟密鑰輪轉服務,請登入Key Management Service控制台進行購買,詳情請參見密鑰輪轉。
相關操作
通過API建立符合前提的雲端硬碟執行個體時,開啟雲端硬碟加密功能,請參見CreateDBInstance - 建立一個RDS執行個體。
通過API查看執行個體是否開啟了雲端硬碟加密,以及密鑰詳情,請參見DescribeDBInstanceEncryptionKey - 查詢雲端硬碟加密狀態及密鑰詳情。