ApsaraDB RDS:ディスク暗号化

前提条件

開始に先立ち、以下の条件を満たしていることをご確認ください。

• 作成中の RDS インスタンス — インスタンス作成後にディスク暗号化を有効化することはできません

• 標準モードで作成されたインスタンス

• インスタンスの MariaDB バージョンに基づいて作成されたキー。詳細については、「CMK を作成する」をご参照ください。

キーの種類の選択

使用可能なキーの種類は、MariaDB のバージョンおよびインスタンスタイプによって異なります。

サービスキー: ApsaraDB RDS によって管理され、永久に有効であり、コンソールで [デフォルトサービスCMK] を選択すると自動的に作成されます。キー仕様は Aliyun_AES_256 です。キーのローテーションはデフォルトで無効です — 有効にするには、Key Management Service (KMS) コンソールでキーのローテーション機能を購入してください。詳しくは、「キーのローテーションの設定」をご参照ください。

MariaDB 10.6 インスタンスでは、ApsaraDB RDS が管理するサービスキーをご利用ください。このキーは永続的に有効であり、誤ってキーを削除した場合のインスタンスロックアウトリスクを回避できます。

クラウドディスク暗号化の有効化

RDS インスタンスを作成する際は、[ストレージタイプ] パラメーターを設定し、[ディスク暗号化] を選択してから、[キー] パラメーターを設定します。作成手順の詳細については、「ApsaraDB RDS for MariaDB インスタンスの作成」をご参照ください。

暗号化の確認

1. インスタンス ページへ移動します。上部のナビゲーションバーから、インスタンスが配置されているリージョンを選択します。該当インスタンスを見つけ、その ID をクリックします。

2. 基本情報 セクションで、AccessKey ペア パラメーターが表示されているか確認します。表示されている場合は、クラウドディスク暗号化が有効化されています。

制限事項

• クラウドディスク暗号化を有効化した後は、無効化できません。

• クラウドディスク暗号化は業務に影響を及ぼさず、アプリケーション側での変更は一切不要です。

• 暗号化されたスナップショットからクラウドディスクを使用して新しいインスタンスを作成した場合、新規インスタンスに対してもクラウドディスク暗号化が自動的に有効化されます。

• Alibaba Cloud KMS アカウントの支払い期限を過ぎた場合、クラウドディスクは復号できなくなります。KMS アカウントを良好な状態に保ってください。詳細については、「KMS とは」をご参照ください。

• 暗号化に使用した KMS キーが無効化または削除された場合、RDS インスタンスはロックされ、アクセスできなくなります。以下の操作がブロックされます：バックアップ、インスタンス仕様の変更、クローン作成、再起動、高可用性スイッチオーバー、パラメーターの変更。

KMS におけるサービスキーの表示

KMS コンソールの左側ナビゲーションウィンドウで キー をクリックし、デフォルトキー タブをクリックします。キーの用途 列に サービスキー と表示されている場合、そのキーは Alibaba Cloud サービスが管理しています。ApsaraDB RDS が管理するサービスキーのエイリアスは alias/acs/rds です。キーが一覧表示されていない場合は、そのリージョンにはまだサービスキーが作成されていません。これは、クラウドディスク暗号化を有効化し、インスタンス作成時に デフォルトのサービス CMK を選択した際に自動的に作成されます。

API リファレンス