TDE の設定 - PolarDB - Alibaba Cloud ドキュメントセンター

PolarDB for PostgreSQLは、透過的なデータ暗号化 (TDE) 機能を提供します。 TDEはデータファイルをリアルタイムで暗号化および復号化します。ディスクに書き込まれるときにデータファイルを暗号化し、ディスクからメモリにロードされるときにデータファイルを復号化します。クラスターのTDEを有効にしても、クラスター内のデータファイルのサイズは増加しません。アプリケーションの設定を変更することなく、TDEを使用できます。

前提条件

キー管理サービス (KMS) が有効化されています。詳細については、「専用KMSインスタンスの購入」をご参照ください。
PolarDBクラスターはKMSへのアクセスを許可されています。詳細については、「PolarDBクラスターによるKMSへのアクセス許可」をご参照ください。
PolarDB for PostgreSQL クラスターは、次のバージョン要件を満たしています。
データベースエンジン
改訂版
PostgreSQL 14
14.12.23.1以降

背景情報

TDEは、データベース層で保存データ暗号化を実行します。これにより、潜在的な攻撃者がデータベースをバイパスしてストレージから機密情報を読み取ることを防ぎます。 TDEは、テーブルスペース内の機密データと、ディスクおよびバックアップに保存されたデータを暗号化できます。 TDEは、データベース認証に合格したアプリケーションとユーザーのデータを自動的に平文に復号化します。オペレーティングシステムと権限のないユーザーは、平文形式の暗号化データにアクセスすることはできません。

PolarDB for PostgreSQL は、TDE暗号化のためにKMSによって生成および管理されるキーを使用します。 PolarDBは、暗号化に必要なキーと証明書を提供しません。 Alibaba Cloudによって自動的に生成されるキー、または独自のキー情報を使用して生成されるキーを使用するようにPolarDBに権限を付与できます。

使用上の注意

TDE を有効にした後、無効にすることはできません。
I/Oバウンドワークロードのシナリオでは、TDEが有効になった後、データベースのパフォーマンスに影響を与える可能性があります。

手順

クラスターの作成時にTDEを有効にする方法については、「クラスターの作成」「」をご参照ください。次のセクションでは、既存のPolarDBクラスターのTDEを有効にする方法について説明します。

重要

PolarDBクラスターのTDEを有効にすると、クラスターが自動的に再起動します。作業は慎重に行ってください。

PolarDBコンソールにログインします。
左側のナビゲーションウィンドウで、クラスターをクリックします。
左上隅で、クラスターがデプロイされているリージョンを選択します。
クラスターを見つけて、そのIDをクリックします。
左側のナビゲーションウィンドウで、設定と管理 > セキュリティを選択します。
TDE設定タブをクリックしてTDEステータスをオンにします。
TDEの設定ダイアログボックスで、デフォルトキーCMKを使用するまたは既存のカスタムキーを使用するを選択します。
- [デフォルトキーCMKを使用] を選択した後、[OK] をクリックします。
- [既存のカスタムキーを使用] を選択した後、ドロップダウンリストからKMSによって生成されたキーを選択し、[OK] をクリックします。

説明

Aliyun_AES_256タイプのキーがサポートされています。
既存のカスタムキーを使用する場合は、次の条件が満たされていることを確認してください。
- Alibaba CloudアカウントまたはAliyunSTSAssumeRoleAccessポリシーがアタッチされているアカウントを使用します。
- キーを無効にするか、スケジュールされたキー削除プランを設定するか、キーマテリアルを削除すると、キーは使用できなくなります。
- PolarDBクラスターへの権限付与を取り消すと、クラスターの再起動後にクラスターは使用できなくなります。
カスタムキーがない場合は、[今すぐ作成] をクリックしてKMSコンソールに移動し、キーを作成して独自のキーマテリアルをインポートする必要があります。詳細については、CMK の作成をご参照ください。

TDEを有効にするには約10分かかります。

TDEステータスの表示

PolarDBコンソールにログインします。
左側のナビゲーションウィンドウで、クラスターをクリックします。
左上隅で、クラスターがデプロイされているリージョンを選択します。
クラスターを見つけて、そのIDをクリックします。
左側のナビゲーションウィンドウで、設定と管理 > セキュリティを選択します。
TDE設定タブで、TDEステータスを表示します。

カスタムキーへの切り替え

PolarDBコンソールにログインします。
左側のナビゲーションウィンドウで、クラスターをクリックします。
左上隅で、クラスターがデプロイされているリージョンを選択します。
クラスターを見つけて、そのIDをクリックします。
左側のナビゲーションウィンドウで、設定と管理 > セキュリティを選択します。
TDE設定タブで、TDEステータスの右側にある [カスタムキーに切り替え] をクリックします。
[TDEの設定] ダイアログボックスで、[既存のカスタムキーを使用] を選択し、KMSによって生成されたキーをドロップダウンリストから選択し、[OK] をクリックします。
説明
既存のカスタムキーの使用方法については、このトピックの「手順」を参照してください。

詳細設定

説明

[既存のカスタムキーを使用] を選択した場合にのみ、自動TDEキーローテーションを有効にできます。
PolarDBは、カスタムキーのプライマリキーバージョンを更新しません。キーのバージョンを手動で更新したり、キーのローテーションポリシーを変更したりできます。詳細は、「キーローテーションの設定」をご参照ください。
PolarDBクラスターがカスタムキーのプライマリキーバージョンが更新されたことを検出すると、次のメンテナンス期間内にTDEキーがローテーションされます。ローテーション後、PolarDBクラスターが再起動します。

次のいずれかの方法を使用して、自動TDEキーローテーションを有効にできます。

[TDEの設定] ダイアログボックスでTDEを有効にしてすぐにTDEを設定したら、[既存のカスタムキーを使用] を選択し、[詳細設定] セクションで [自動TDEキー回転] をオンにします。
TDEを有効にして [既存のカスタムキーを使用] を選択した後、[TDE設定] タブの [自動TDEキー回転] をオンにします。

よくある質問

TDEを有効にした後、Navicatなどの一般的なデータベースツールを使用できますか?
はい、TDEを有効にすると、一般的なデータベースツールを使用できます。
TDEを有効にした後、データがまだ平文であるのはなぜですか?
TDEを有効にすると、データは暗号文で保存されます。ただし、データが照会されると、データは復号化され、平文でメモリにロードされます。

操作	説明
ModifyDBClusterTDE	TDE機能を有効にするか、PolarDBクラスターのTDE設定を変更します。
DescribeDBClusterTDE	PolarDBクラスターのTDE設定を照会します。
CreateDBCluster	TDE機能を有効にしたPolarDBクラスターを作成します。説明 DBTypeパラメーターは、PostgreSQL に設定する必要があります。

PolarDB:TDE の設定