すべてのプロダクト
Search

このプロダクト

    :クラウドディスク暗号化機能の使用

    ドキュメントセンター

    :クラウドディスク暗号化機能の使用

    最終更新日:Mar 21, 2024

    ApsaraDB RDS for PostgreSQLは、クラウドディスクの暗号化機能を無料で提供し、データのセキュリティを確保します。 RDSインスタンスにクラウドディスク暗号化機能を使用する場合、RDSインスタンス用に作成されたスナップショットは自動的に暗号化され、アプリケーションの設定を変更する必要はありません。

    背景情報

    クラウドディスクの暗号化により、データが保護され、ビジネスやアプリケーションの構成を変更する必要がなくなります。 さらに、ApsaraDB RDSは、暗号化されたクラウドディスクから生成されたスナップショットと、それらのスナップショットから作成されたクラウドディスクの両方に、クラウドディスクの暗号化を自動的に適用します。

    クラウドディスクの暗号化機能は無料で提供されます。 暗号化されたクラウドディスクで実行した読み取りおよび書き込み操作に対しては課金されません。

    前提条件

    • クラウドディスクの暗号化機能が有効になっています。 クラウドディスクの暗号化機能は、RDSインスタンスを作成した場合にのみ有効にできます。 ApsaraDB RDS for PostgreSQLインスタンスのディスク暗号化の設定の説明に基づいて、RDSインスタンスのパラメーターを設定する必要があります。 これにより、インスタンスの作成時にRDSインスタンスのクラウドディスク暗号化機能を有効にできます。

    • RDSインスタンスは、次のパラメーター設定を使用します。

      • エディション: Basic EditionまたはHigh-availability Edition

      • ストレージタイプ: 拡張SSD (ESSD) または一般ESSD

    使用上の注意

    • 機能を有効にした後、クラウドディスクの暗号化を無効にすることはできません。

    • クラウドディスク暗号化ディスクが有効になっているRDSインスタンスでは、クロスリージョンバックアップはサポートされていません。 詳細については、「ApsaraDB RDS For PostgreSQLインスタンスのクロスリージョンバックアップ機能の使用」をご参照ください。

    • クラウドディスクの暗号化によってワークロードが中断されることはなく、アプリケーションの設定を変更する必要もありません。

    • RDSインスタンスのディスク暗号化を有効にすると、インスタンス用に作成されたスナップショットは自動的に暗号化されます。 暗号化されたスナップショットを使用して、標準SSDまたはESSDを使用するRDSインスタンスを作成すると、新しいRDSインスタンスに対してディスク暗号化機能が自動的に有効になります。

    • Key Management Service (KMS) の期限が過ぎた場合、RDSインスタンスのクラウドディスクは使用できなくなります。 KMSが通常どおりサービスを提供できることを確認してください。 詳細については、「KMSの概要」をご参照ください。

    • KMSでRDSインスタンスのキーを無効または削除した場合、RDSインスタンスは期待どおりに実行できません。 RDSインスタンスはロックされており、アクセスできません。 さらに、RDSインスタンスですべてのO&M操作を実行することはできません。 たとえば、バックアップの実行、インスタンス仕様の変更、RDSインスタンスの複製または再起動、高可用性切り替えの実行、インスタンスパラメーターの変更はできません。 これらの問題を防ぐために、ApsaraDB RDSによって管理されるサービスキーであるデフォルトのサービスカスタマーマスターキー (CMK) を使用することを推奨します。

    • 汎用インスタンスタイプとクラウドディスクを使用するRDSインスタンスを作成する場合、デフォルトサービスCMKのみを選択して、RDSインスタンスのクラウドディスク暗号化機能を有効にできます。 専用インスタンスタイプとクラウドディスクを使用するRDSインスタンスを作成する場合、デフォルトサービスCMKまたはCMKを選択して、RDSインスタンスのクラウドディスク暗号化機能を有効にします。 詳細については、「 [製品の変更 /機能の変更] ApsaraDB RDSのクラウドディスク暗号化機能が2024年1月15日から調整されました」をご参照ください。

    手順

    1. キーを作成します。

      RDSインスタンスのクラウドディスク暗号化にはKMSが必要です。 詳細については、「KMSインスタンスの購入と有効化」をご参照ください。

    2. クラウドディスクの暗号化機能を有効にします。

      RDSインスタンスの作成時に前提条件が満たされている場合は、[ディスク暗号化] を選択し、ストレージタイプを選択した後にキーを指定します。 デフォルトのサービスCMKがデフォルトで選択されています。

      説明

      • RDSインスタンスの作成後、インスタンスの [基本情報] ページに移動し、ディスクの暗号化に使用されるキーを表示できます。

      • KMSコンソールでは、現在のアカウント内のすべてのキーを表示できます。 KMSコンソールの左側のナビゲーションページで、[キー] をクリックします。 表示されるページで、[デフォルトキー] タブをクリックし、表示するキーを見つけます。 [キーの使用] 列の値が [サービスキー] の場合、キーはAlibaba Cloudサービスによって管理されるサービスキーです。 ApsaraDB RDSが管理するサービスキーのエイリアスはalias/acs/rdsです。 キーが見つからない場合、そのリージョンにサービスキーは作成されていません。 ApsaraDB RDSコンソールでインスタンスの作成中にディスク暗号化機能を有効にし、[Default Service CMK] を選択すると、システムは自動的にサービスキーを作成します。

      • デフォルトサービスCMKのキー仕様はAliyun_AES_256です。 キーローテーション機能はデフォルトで無効になっています。 キーローテーション機能を有効にする場合は、KMSコンソールでキーローテーション機能を購入します。 詳細は、「キーローテーションの設定」をご参照ください。