すべてのプロダクト
Search

このプロダクト

    ApsaraDB RDS:クラウドディスク暗号化機能の使用

    ドキュメントセンター

    ApsaraDB RDS:クラウドディスク暗号化機能の使用

    最終更新日:Mar 21, 2024

    ApsaraDB RDS for SQL Serverは、クラウドディスクの暗号化機能を無料で提供します。 この機能は、ApsaraDB RDS for SQL Serverインスタンスを作成するときに有効にできます。 この機能は、ブロックストレージに基づいてRDSインスタンスの各データディスクのデータを暗号化します。 RDSインスタンス用に生成されたスナップショットと、それらのスナップショットから作成されたRDSインスタンスのクラウドディスクは自動的に暗号化されます。 この方法では、スナップショットバックアップが漏洩しても復号化できません。 クラウドディスクの暗号化により、データのセキュリティが確保されます。 この機能を有効にすると、ワークロードは影響を受けず、アプリケーションのコードを変更する必要はありません。

    前提条件

    • クラウドディスクの暗号化機能が有効になっています。 クラウドディスク暗号化機能は、RDSインスタンスを作成した場合にのみ、RDSインスタンスに対して有効にできます。 詳細については、「ApsaraDB RDS For SQL Serverインスタンスの作成」をご参照ください。

    • RDSインスタンスは次の要件を満たしています。

      • RDSインスタンスは、標準SSD、拡張SSD (ESSD) 、または汎用ESSDストレージタイプを使用します。

      • RDSインスタンスは、汎用または専用インスタンスファミリーに属しています。 共有インスタンスファミリーはサポートされていません。

        説明

        サーバーレスRDSインスタンスは、クラウドディスク暗号化機能をサポートしていません。

    課金ルール

    クラウドディスクの暗号化機能は無料で提供されます。 暗号化されたディスクで実行する読み取りおよび書き込み操作に追加料金を支払う必要はありません。

    使用上の注意

    • クラウドディスク暗号化機能が有効になっているRDSインスタンスでは、クロスリージョンバックアップはサポートされていません。 詳細については、「ApsaraDB RDS For SQL Serverインスタンスのクロスリージョンバックアップ機能の有効化」をご参照ください。

    • Key Management Service (KMS) の期限が過ぎた場合、RDSインスタンスの標準SSDまたはESSDは使用できなくなります。 KMSが正常であることを確認してください。 詳細については、「KMSの概要」をご参照ください。

    • KMSでRDSインスタンスのキーを無効または削除した場合、RDSインスタンスは期待どおりに実行できません。 この場合、RDSインスタンスはロックされており、アクセスできません。 さらに、RDSインスタンスですべてのO&M操作を実行することはできません。 たとえば、バックアップの実行、インスタンス仕様の変更、RDSインスタンスの複製または再起動、高可用性切り替えの実行、インスタンスパラメーターの変更はできません。 これらの問題を防ぐために、ApsaraDB RDSによって管理されるサービスキーであるデフォルトのサービスカスタマーマスターキー (CMK) を使用することを推奨します。

    • 汎用インスタンスタイプとクラウドディスクを使用するRDSインスタンスを作成する場合、デフォルトサービスCMKのみを選択して、RDSインスタンスのクラウドディスク暗号化機能を有効にできます。 専用インスタンスタイプとクラウドディスクを使用するRDSインスタンスを作成する場合、デフォルトサービスCMKまたはCMKを選択して、RDSインスタンスのクラウドディスク暗号化機能を有効にします。 詳細については、「 [製品の変更 /機能の変更] ApsaraDB RDSのクラウドディスク暗号化機能が2024年1月15日から調整されました」をご参照ください。

    RDSインスタンスのクラウドディスク暗号化機能の有効化

    RDSインスタンスを作成するときに、標準SSDESSD、または一般的なESSDストレージタイプを選択し、ディスクを暗号化 を選択してキーを指定します。 詳細については、「ApsaraDB RDS For SQL Serverインスタンスの作成」をご参照ください。

    説明

    キーの作成方法の詳細については、「KMSインスタンスの購入と有効化」をご参照ください。

    image

    クラウドディスク暗号化機能のステータスとキーの詳細を表示する

    1. [インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。

    2. RDSインスタンスの 基本情報 ページで、クラウドディスクを使用するRDSインスタンスのキーを表示します。

      説明

      • 基本情報 ページにキーが表示されない場合、インスタンスの作成中にRDSインスタンスのクラウドディスク暗号化機能は無効になります。

      • この機能は、RDSインスタンスを作成した場合にのみ、RDSインスタンスに対して有効にできます。 詳細については、「ApsaraDB RDS For SQL Serverインスタンスの作成」をご参照ください。

      • KMSコンソールでは、現在のアカウント内のすべてのキーを表示できます。 KMSコンソールの左側のナビゲーションページで、[キー] をクリックします。 表示されるページで、[デフォルトキー] タブをクリックし、表示するキーを見つけます。 [キーの使用] 列の値が [サービスキー] の場合、キーはAlibaba Cloudサービスによって管理されるサービスキーです。 ApsaraDB RDSが管理するサービスキーのエイリアスはalias/acs/rdsです。 キーが見つからない場合、そのリージョンにサービスキーは作成されていません。 ApsaraDB RDSコンソールでインスタンスの作成中にディスク暗号化機能を有効にし、[Default Service CMK] を選択すると、システムは自動的にサービスキーを作成します。

      • デフォルトサービスCMKのキー仕様はAliyun_AES_256です。 キーローテーション機能はデフォルトで無効になっています。 キーローテーション機能を有効にする場合は、KMSコンソールでキーローテーション機能を購入します。 詳細は、「キーローテーションの設定」をご参照ください。

    関連操作

    • インスタンスを作成するときに、CreateDBInstance操作を呼び出してクラウドディスク機能を有効にします。 詳細は、「CreateDBInstance」をご参照ください。

    • DescribeDBInstanceEncryptionKey操作を呼び出して、インスタンスのクラウドディスク暗号化機能が有効になっているかどうか、およびキーの詳細を照会できます。 詳細については、「DescribeDBInstanceEncryptionKey」をご参照ください。