セキュリティコンプライアンスや保存データ暗号化などのシナリオでは、ApsaraDB RDS for SQL Serverインスタンスに透過的データ暗号化 (TDE) 機能を使用することを推奨します。 このトピックでは、TDEを使用してデータファイルに対してリアルタイムのI/O暗号化および復号化を実行し、機密データがディスクに書き込まれる前に暗号化され、ディスクからメモリに読み取られるときに復号化されるようにする方法について説明します。 これにより、攻撃者がデータベースをバイパスしてストレージから機密情報を読み取ることができなくなり、データベース内の機密データのセキュリティが向上します。 RDSインスタンスでTDEを有効にしても、インスタンス内のデータファイルのサイズは増加しません。 アプリケーションの設定を変更することなく、TDEを使用できます。
前提条件
RDSインスタンスは、次のいずれかのデータベースエンジンバージョンを実行します。
SQL Server 2019 SE、SQL Server 2022 SE、およびSQL Server EE
RDSインスタンスは、汎用または専用インスタンスファミリーに属しています。 共有インスタンスファミリーはサポートされていません。
読み取り専用RDSインスタンスはこの機能をサポートしていません。
Bring Your Own Keys (BYOK) を使用する場合は、暗号化および復号化に使用する証明書、秘密鍵、およびパスワードを事前に取得してください。
使用上の注意
RDSインスタンスで有効になった後は、TDEを無効にすることはできません。 ビジネス要件に基づいて、データベースのTDEを有効または無効にできます。
Alibaba CloudがRDSインスタンスに対して提供するサービスキーを使用し、RDSインスタンスのTDEを有効にする場合、RDSインスタンスのデータを自己管理データベースに復元する前に、RDSインスタンスのTDEを無効にする必要があります。 詳細については、「TDEの無効化」をご参照ください。
説明TDEを無効にすると、一部のトランザクションログは暗号化されます。 ダウンロードされたバックアップファイルを使用してRDSインスタンスのデータを復元することはできません。 この場合、RDSインスタンスで3回のログバックアップと1回の完全バックアップが完了するまで待ちます。 次に、生成された最新の完全バックアップファイルをダウンロードします。 この完全バックアップファイルには、RDSインスタンスの復号化されたデータが含まれます。 詳細については、「SQL Server 2008 Enterprise Editionのデータベース暗号化」をご参照ください。 バックアップポリシーの設定方法の詳細については、「ApsaraDB RDS For SQL Serverインスタンスのバックアップ」をご参照ください。
RDSインスタンスのTDEを有効にすると、RDSインスタンスのCPU使用率が大幅に増加します。
TDE を有効化する
- [インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
左側のナビゲーションウィンドウで、セキュリティコントロール をクリックします。
TDE タブで、無効 の横にあるスイッチをオンにします。
説明RDSインスタンスが「前提条件」セクションで指定されたすべての条件を満たしている場合にのみ、TDEを有効にできます。
表示されるダイアログボックスで、キーの種類を選択し、[OK] をクリックします。
[選択していないデータベース] セクションからデータベースを選択し、アイコンをクリックして選択したデータベースを [選択したデータベース] セクションに移動し、[確認] をクリックします。
証明書ファイルと秘密鍵ファイルをOSSバケットにアップロードします。 詳細については、「オブジェクトのアップロード」をご参照ください。
をクリックし、次のパラメーターを設定します。
パラメーター
説明
証明書ファイルと秘密鍵ファイルが格納されているOSSバケット。
OSSバケットにアップロードした証明書ファイル。
OSSバケットにアップロードした秘密鍵ファイル。
独自のSQL Serverキーのパスワード。
をクリックして、[認証データベース] ステップに進みます。
[選択していないデータベース] セクションからデータベースを選択し、アイコンをクリックして選択したデータベースを [選択したデータベース] セクションに移動し、[確認] をクリックします。
TDEを無効にする
RDSインスタンスに対してTDEを有効にすると、TDEを無効にすることはできません。 データベースのTDEを無効にするには、[選択したデータベース] セクションからデータベースを削除します。
- [インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
左側のナビゲーションウィンドウで、セキュリティコントロール をクリックします。
TDE タブをクリックします。 次に、TDE 設定 をクリックします。
[選択したデータベース] セクションからデータベースを選択し、アイコンをクリックして、選択したデータベースを [未選択のデータベース] セクションに移動し、[OK] をクリックします。
TDEを無効にすると、一部のトランザクションログは暗号化されます。 ダウンロードされたバックアップファイルを使用してRDSインスタンスのデータを復元することはできません。 この場合、RDSインスタンスで3回のログバックアップと1回の完全バックアップが完了するまで待ちます。 次に、生成された最新の完全バックアップファイルをダウンロードします。 この完全バックアップファイルには、RDSインスタンスの復号化されたデータが含まれます。 詳細については、「SQL Server 2008 Enterprise Editionのデータベース暗号化」をご参照ください。 バックアップポリシーの設定方法の詳細については、「ApsaraDB RDS For SQL Serverインスタンスのバックアップ」をご参照ください。
参考資料
API操作を呼び出してTDEを有効にする方法の詳細については、「ModifyDBInstanceTDE」をご参照ください。
SSL暗号化を使用してRDSインスタンスへの接続を暗号化する方法の詳細については、「SSL暗号化機能の設定」をご参照ください。