すべてのプロダクト
Search

このプロダクト

    Database Autonomy Service:列の暗号化

    ドキュメントセンター

    Database Autonomy Service:列の暗号化

    最終更新日:Nov 09, 2025

    Database Autonomy Service (DAS) は、ApsaraDB RDS for MySQL、ApsaraDB RDS for PostgreSQL、PolarDB for MySQL、PolarDB for PostgreSQL などのデータベース内の機密データを保護するための列レベルの暗号化を提供します。この機能を使用すると、特定のデータ列を暗号化できます。承認されたユーザーは、専用のクライアントドライバーを介してプレーンテキストデータを復号し、アクセスできます。

    サポートされているリージョンとデータベース

    データベース

    リージョン

    • RDS for MySQL

    • PolarDB for MySQL

    • RDS for PostgreSQL

    • PolarDB-X 2.0

    • PolarDB for PostgreSQL

    中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (深圳)、中国 (成都)、中国 (香港)

    PolarDB for PostgreSQL (Oracle 互換)

    中国 (杭州) およびマレーシア (クアラルンプール)

    前提条件

    • [インスタンス] ページで、機密データ検出と列の暗号化のためにインスタンスを承認します。

      image

    • DAS Security Center を購入し、列の暗号化に十分なクォータがあることを確認します。

    • インスタンスのリージョンが列の暗号化機能をサポートしていることを確認します。詳細については、「製品シリーズとサポートされている機能」をご参照ください。

    • 機密データ検出タスクを完了します。詳細については、「機密データ検出の管理」をご参照ください。

    課金情報

    • DAS は、1 つの列を暗号化するための無料クォータを提供します。より多くの列を暗号化するには、[列の暗号化] サービスを有効にし、十分な [列の暗号化クォータ] を購入します。このサービスはサブスクリプションベースで課金されます。詳細については、「課金」をご参照ください。

    • 列の暗号化構成で [暗号化方式][KMS キー] に設定した場合、Key Management Service (KMS) はマネージドキーに対して料金を請求します。詳細については、「製品の課金」をご参照ください。

    暗号化の制限

    サポートされているデータベースタイプ

    サポートされているバージョン

    サポートされている暗号化アルゴリズム

    サポートされている暗号化方式

    サポートされている権限

    RDS for MySQL

    メジャーバージョンは MySQL 5.7 または MySQL 8.0 で、マイナーエンジンバージョンは 20240731 以降です。

    • AES_128_GCM。

    • AES_256_GCM: マイナーエンジンバージョンが 20241231 以降の場合にのみサポートされます。

    • SM4_128_GCM: マイナーエンジンバージョンが 20241231 以降の場合にのみサポートされます。

    説明

    中国本土以外のリージョンでは、AES_128_GCM のみがサポートされています。

    • ローカルキー。

    • KMS キー: マイナーエンジンバージョンが 20241231 以降で、ストレージタイプがディスクの場合にのみサポートされます。

    • 暗号文権限 (復号権限なし): ローカルキーでのみサポートされます。これがデフォルトの権限です。

    • 暗号文権限 (JDBC 復号): KMS キーを使用する場合のデフォルトの権限です。

    • プレーンテキスト権限。

    RDS for PostgreSQL

    メジャーバージョンは PostgreSQL 16 で、マイナーエンジンバージョンは 20241230 以降である必要があります。

    AES_256_GCM。

    ローカルキー。

    • 暗号文権限 (JDBC 復号) (デフォルトの権限)。

    • プレーンテキスト権限。

    PolarDB for MySQL

    メジャーバージョンは MySQL 5.7 または MySQL 8.0 で、データベースプロキシのバージョンは 2.8.36 以降である必要があります。

    重要

    PolarDB for MySQL データベースに列の暗号化ポリシーを設定する場合、データベースプロキシエンドポイント (読み書き分離モード) を使用してデータベースに接続する必要があります。プライマリエンドポイントを使用する場合、列の暗号化ポリシーは有効になりません。詳細については、「データベースプロキシの設定」および「エンドポイントの管理」をご参照ください。

    AES_128_GCM。

    ローカルキー。

    PolarDB for PostgreSQL

    メジャーバージョンは PostgreSQL 14 で、データベースバージョンは 2.0.14.15.31.0 以降です。

    AES_256_GCM。

    ローカルキー。

    PolarDB for PostgreSQL (Oracle 互換)

    Oracle 構文互換性 2.0 のみがサポートされています。メジャーバージョンは PostgreSQL 14 で、データベースバージョンは 2.0.14.15.31.0 以降です。

    AES-256-GCM。

    ローカルキー。

    PolarDB-X 2.0

    データベースバージョンは polardb-2.5.0_5.4.20-20250714_xcluster8.4.20-20250703 以降です。

    • AES-128-GCM。

    • SM4-128-GCM。

    ローカルキー。

    手順

    1. DAS コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[セキュリティセンター] > [列の暗号化] をクリックします。

    3. 対象インスタンスの [アクション] 列で [ワンクリック暗号化] をクリックし、暗号化ポリシーを設定します。

      説明

      既に暗号化ポリシーがあるインスタンスの場合は、[アクション] 列の [編集] をクリックしてポリシーを変更します。

    4. [暗号化設定] パネルで、[アセットタイプ][インスタンス名][暗号化アルゴリズム][暗号化方式]、および [プレーンテキスト権限アカウント] を選択します。次に、対象の [データベース][テーブル][列] を選択し、[OK] をクリックします。

    5. インスタンスリストで、対象インスタンスの左側にある image アイコンをクリックして、データベース、テーブル、および列の情報を展開します。

    6. 展開されたリストの [アクション] 列で、[暗号化を無効化] または [暗号化を有効化] をクリックし、表示されるダイアログボックスで [OK] をクリックします。

    関連ドキュメント

    • EncJDBC との統合: EncJDBC ドライバーを使用して、Java アプリケーションから暗号化された列のプレーンテキストにアクセスします。

    • Go ドライバーとの統合: alibabacloud-encdb-mysql-go-client ドライバーを使用して、Go アプリケーションから暗号化された列のプレーンテキストにアクセスします。