Transparent Data Encryption (TDE) は、データファイルがディスクに書き込まれる際に暗号化し、メモリにロードされる際に復号します。TDE を有効にしても、アプリケーションコードを変更する必要はなく、データファイルサイズも増加しません。暗号化キーは Key Management Service (KMS) によって生成・管理されます。PolarDB-X は独自のキーまたは証明書を提供しません。
前提条件
作業を開始する前に、以下の条件を満たしていることを確認してください。
KMS が有効になっていること(KMS が無効の場合、TDE 設定中に有効化できます)
キーの種類の選択
| キーの種類 | 説明 | 使用するタイミング |
|---|---|---|
| 自動生成キーを使用 | Alibaba Cloud がキーを生成・管理します | キー管理のオーバーヘッドを避け、シンプルな設定を行いたい場合 |
| 既存のカスタムキーを使用 | KMS 経由で独自のキーマテリアルを提供します | コンプライアンスや監査要件のためにキーのライフサイクルを制御する必要がある場合 |
TDE の有効化
PolarDB for Xscale コンソールにログインします。
上部のナビゲーションバーで、ご利用のインスタンスがデプロイされているリージョンを選択します。
インスタンス一覧ページで、PolarDB-X 2.0 タブをクリックします。
対象インスタンスの ID をクリックします。
左側のナビゲーションウィンドウで、設定管理 > セキュリティ管理 を選択します。
TDE タブで、TDE ステータス の横にあるスイッチをオンにします。
TDE の設定 ダイアログボックスで、キーの種類を選択し、OK をクリックします。
自動生成キーを使用 — Alibaba Cloud が自動的にキーを生成します。
既存のカスタムキーを使用 — KMS から既存のキーを選択します。
説明 カスタムキーがない場合は、[今すぐ作成] をクリックして KMS コンソールに移動し、キーマテリアルをインポートします。詳細については、「CMK の管理」をご参照ください。
テーブルの暗号化
既存のテーブルを暗号化するには、次のコマンドを実行します。
ALTER TABLE <tablename> ENCRYPTION='Y';暗号化を有効にして新しいテーブルを作成するには、次のコマンドを実行します。
CREATE TABLE <tablename> <col definition> ENCRYPTION='Y';テーブルの復号
テーブルから TDE 暗号化を解除するには、次のコマンドを実行します。
ALTER TABLE <tablename> ENCRYPTION='N';