ディスク暗号化機能を使用すると、ApsaraDB for MongoDB インスタンスのデータを暗号化して、データ セキュリティを最大化できます。ディスク暗号化は、ビジネス ワークロードには影響しません。 アプリケーションのコードを変更する必要はありません。このトピックでは、インスタンスのディスク暗号化機能を有効にする方法について説明します。
前提条件
インスタンス データの保存には、企業向け SSD(ESSD)が使用されます。
専用インスタンス カテゴリが使用されます。
レプリカセットまたはシャードクラスター インスタンスが使用されます。
課金
ディスク暗号化機能は無料で提供されます。ただし、データの暗号化に使用される Key Management Service(KMS)キーに対しては課金されます。 KMS の課金の詳細については、「KMS の課金」をご参照ください。
使用上の注意
ApsaraDB for MongoDB インスタンスのディスク暗号化機能は、インスタンスの作成時にのみ有効にできます。有効にした後は、この機能を無効にすることはできません。
ApsaraDB for MongoDB インスタンスのディスク暗号化機能を有効にすると、インスタンスに対して作成されたスナップショットと、スナップショットから作成されたディスクは自動的に暗号化されます。
Alibaba Cloud アカウント内で KMS の支払いが遅延している場合、スナップショットから作成されたディスクを復号化できません。このようにして、ApsaraDB for MongoDB インスタンスは使用できなくなります。ディスク暗号化に使用される KMS キーが正常であることを確認してください。 KMS の詳細については、「Key Management Service とは」をご参照ください。
KMS キーを無効化または削除すると、そのキーを使用する ApsaraDB for MongoDB インスタンスは期待どおりに動作しません。この場合、インスタンス構成の変更、スナップショットの作成、スナップショットの復元、バックアップ データベースの再構築などの操作が影響を受けます。
ディスク暗号化は、デフォルトの KMS キーのみをサポートします。
ディスク暗号化機能が有効になっているインスタンスをゴミ箱から復元する場合は、データの暗号化に使用されるインスタンスの KMS キーが使用可能であることを確認してください。使用できない場合、インスタンスを復元することはできません。
ディスク暗号化を有効にする
ApsaraDB for MongoDB 購入ページ に移動します。
次の表に示すパラメーターを構成します。
パラメーター
説明
[ストレージ タイプ]
インスタンスのストレージ タイプ。インスタンスには ESSD ストレージ タイプを選択する必要があります。ディスク暗号化機能は ESSD のみでサポートされています。
[暗号化タイプ]
インスタンスの暗号化タイプ。[ディスク暗号化] を選択します。
[サービスロール]
リンクされた Alibaba Cloud サービスのみが引き受けることができる Resource Access Management(RAM)ロール。ディスク暗号化機能を使用するには、サービスロールが必要です。サービスロールをすでに作成している場合は、[作成済み] と表示されます。サービスロールを作成していない場合は、[サービスロールの作成] をクリックします。
[暗号化キー]
ディスク暗号化に使用される KMS キー。
指定したリージョンに KMS キーが作成されていない場合は、KMS コンソールに移動します。 KMS キーの作成方法の詳細については、「CMK を作成する」をご参照ください。
説明デフォルトの KMS キーのみがサポートされています。
インスタンスを購入する場合の構成項目と後続の操作の詳細については、「レプリカセット インスタンスを作成する」または「シャードクラスター インスタンスを作成する」をご参照ください。