すべてのプロダクト
Search

このプロダクト

    :透過的データ暗号化 (ベータ版) の有効化

    ドキュメントセンター

    :透過的データ暗号化 (ベータ版) の有効化

    最終更新日:Jan 31, 2026

    Lindorm は透過的データ暗号化 (TDE) をサポートしています。この機能は、キー階層を使用してデータファイルを暗号化し、ファイルシステムに保存されているすべてのデータが暗号文として存在するようにします。コンソールで TDE を有効にすることで、インスタンスのデータを暗号化し、データセキュリティを向上させることができます。このトピックでは、TDE を有効にする方法について説明します。

    前提条件

    • Lindorm インスタンスがシングルゾーンにデプロイされていること。詳細については、「インスタンスの作成」をご参照ください。

    • Key Management Service (KMS) が有効になっていること。詳細については、「Key Management Service の有効化」をご参照ください。

    • サービスリンクロールを使用して、Lindorm に KMS へのアクセス権限が付与されていること。詳細については、「Lindorm のサービスリンクロール」をご参照ください。

    背景情報

    Lindorm の TDE 機能は、AES および SMS4 アルゴリズムをサポートしています。TDE に使用されるキーは、Key Management Service (KMS) によって生成および管理されます。KMS はエンベロープ暗号化を使用します。これは、マスターキーがデータキーを暗号化し、そのデータキーがお客様のデータを暗号化する方式です。復号時には、まずデータキーの暗号文が読み取られます。次に、マスターキーがデータキーの暗号文を復号してプレーンテキストのデータキーを取得し、そのデータキーを使用してデータが復号されます。KMS が提供するマスターキーは、API 呼び出しによって作成されます。また、マスターキーをパスワードで暗号化して、セキュリティをさらに強化することもできます。

    注意事項

    • TDE を有効にすると、インスタンスが一度再起動し、一時的な切断が発生します。この操作はオフピーク時間帯に実行し、アプリケーションに再接続メカニズムが備わっていることを確認することを推奨します。

    • インスタンスの再起動や一時的な切断によってデータが失われることはありません。

    • TDE 機能は一度有効にすると無効にできません。

    手順

    1. Lindorm コンソール にログインします。

    2. 対象インスタンスの ID をクリックして、Instances ページに移動します。

    3. 左側のナビゲーションウィンドウで、Wide Table Engine > Data Security を選択します。デフォルトで Transparent Data Encryption (TDE) ページが表示されます。

    4. Current Status: スイッチをオンにします。

    5. Enable TDE ダイアログボックスで、Use Automatically Generated Key または Use Custom Key を選択します。

      Enable TDE dialog box

      • Use Automatically Generated Key を選択した場合は、OK をクリックして TDE を有効にします。

      • Use Custom Key を選択した場合は、Set Key: リストから KMS で生成されたキーを選択し、OK をクリックして TDE を有効にします。

        説明

        独自のインポートされたキーを使用するには、Manage Key をクリックします。KMS コンソールでキーを作成し、キーマテリアルをインポートします。詳細については、「キーの作成」をご参照ください。

    次の手順

    TDE を有効にした後、Lindorm-cli を使用してインスタンスに接続し、Lindorm テーブルに対してデータ定義言語 (DDL) 操作を実行してデータを暗号化する必要があります。インスタンスへの接続方法の詳細については、「Lindorm-cli を使用した LindormTable への接続と使用」をご参照ください。必要な操作は次のとおりです。

    • 新しいテーブルの場合、テーブル作成時に WITH (FILEVERSION = 5, ENCRYPTION = AES) 文を追加します。

      CREATE table testsql (p1 varchar, p2 varchar, p3 bigint, c1 varchar, c2 double, constraint primary key (p1, p2, p3 desc)) WITH (FILEVERSION = 5, ENCRYPTION = AES);

    • 既存のテーブルの場合、ALTER キーワードと WITH (FILEVERSION = 5, ENCRYPTION = SMS4) 文を使用します。

      ALTER table testsql WITH (FILEVERSION = 5, ENCRYPTION = SMS4) ;
    説明

    • FILEVERSION はファイルバージョンを指定します。このパラメーターを 5 に設定すると、暗号化機能が使用できます。

    • ENCRYPTION は暗号化アルゴリズムを指定します。有効な値は AES と SMS4 です。

    • ENCRYPTION=NONE 文を使用してデータを復号できます。

    • 暗号化アルゴリズムを変更することもできます (例:AES から SMS4 へ)。ただし、この操作は推奨されません。手順は次のとおりです。

      1. ENCRYPTION=NONE 文を使用してテーブルデータを復号します。

      2. テーブルに対して major_compact 操作を実行し、完了するまで待ちます。

      3. ENCRYPTION=SMS4 文を使用して、データ暗号化アルゴリズムを SMS4 に設定します。