このトピックでは、エラスティックストレージモードでAnalyticDB for PostgreSQLインスタンスのディスク暗号化を有効にする方法について説明します。 ディスク暗号化機能は、Elastic Block Storage (EBS) を使用してAnalyticDB for PostgreSQLインスタンスの各データディスクのデータを暗号化し、データのセキュリティを確保します。 これにより、データ漏洩が発生してもバックアップデータを復号化することができない。
概要
AnalyticDB for PostgreSQLインスタンスのディスク暗号化を有効にすると、システムは次のデータを暗号化します。
ディスクに保存されている静的データ。
ディスクとインスタンス間で送信されるデータ。 システムディスク上のデータは暗号化されません。
暗号化されたディスクから作成されたすべてのスナップショット。 これらのスナップショットは、暗号化されたスナップショットと呼ばれます。
使用上の注意
AnalyticDB for PostgreSQLインスタンスを作成する場合にのみ、ディスク暗号化を有効にできます。 インスタンスの作成後、ディスクの暗号化を有効にすることはできません。
機能を有効にした後は、ディスクの暗号化を無効にできません。
インスタンスのディスク暗号化を有効にすると、インスタンス用に作成されたスナップショットと、スナップショットから作成された新しいインスタンスが自動的に暗号化されます。
ディスク暗号化はビジネスを中断せず、アプリケーションを変更する必要はありません。
Key Management Service (KMS) インスタンスの期限が過ぎた場合、AnalyticDB for PostgreSQLインスタンスのディスクデータは復号化できず、AnalyticDB for PostgreSQLインスタンスは使用できなくなります。 KMSインスタンスが期待どおりに実行されることを確認します。 詳細については、「」をご参照ください。キー管理サービスとは
インスタンスのディスク暗号化に使用されるKMSキーを無効化または削除すると、ディスクデータが失われ、AnalyticDB for PostgreSQLインスタンスが使用できなくなります。 使用中のKMSキーを無効化または削除しないでください。
課金ルール
AnalyticDB for PostgreSQLのディスク暗号化機能は無料です。 暗号化されたディスクで実行した読み取りおよび書き込み操作に対しては課金されません。
キーのホスティングおよびAPI操作の呼び出し料金など、KMSの料金については、「KMSの課金」をご参照ください。
インスタンスのディスク暗号化の有効化
AnalyticDB for PostgreSQLインスタンスの作成時にディスク暗号化を有効にするには、次の操作を実行します。 詳細は、インスタンスの作成をご参照ください。
インスタンスリソースタイプをElastic Storage Modeに設定します。
[ストレージディスクタイプ] パラメーターにESSDストレージディスクタイプを選択します。
[暗号化タイプ] を [ディスク暗号化] に設定します。
ディスクの暗号化に使用するキーを選択します。 使用できるキーがない場合は、KMSを有効にしてキーを作成します。
説明AnalyticDB for PostgreSQLのディスク暗号化機能は、手動で作成されたキーのみをサポートします。 KMSコンソールでキーを作成するときは、自動回転を無効にする必要があります。カスタマーマスターキー (CMK) の作成方法については、「CMKの作成」をしてください。
APIを呼び出してKMSを有効化すると、イベントログが生成されます。 詳細については、「ActionTrailを使用したKMSイベントログの照会」をご参照ください。
[今すぐ購入] をクリックします。 インスタンスが作成されると、ディスクの暗号化が有効になります。
インスタンスのディスク暗号化が有効になっているかどうかを確認する
AnalyticDB for PostgreSQLコンソールの [インスタンス] ページにログインします。 上部のナビゲーションバーで、リージョンを選択します。 次に、管理するインスタンスを見つけて、インスタンスIDをクリックします。
[基本情報] セクションで、[暗号化キー] パラメーターが表示されているかどうかを確認します。 パラメーターが表示されている場合、インスタンスのディスク暗号化が有効になります。
関連する API
操作 | 説明 |
AnalyticDB for PostgreSQLインスタンスを作成します。 |