静止中のデータのセキュリティを強化するため、追加コストなしでディスク暗号化機能を有効化できます。この機能により、データディスク全体が暗号化され、ディスクまたはそのバックアップが不正に取得された場合でも、データを復号することはできません。ディスク暗号化の有効化にはアプリケーションコードの変更は不要であり、インスタンスのパフォーマンスへの影響も最小限に抑えられます。また、インスタンスのスナップショットは自動的に暗号化属性を継承します。
概要
仕組み
ディスク暗号化機能では、業界標準の AES-256 暗号化アルゴリズムを用いてデータディスク全体を暗号化します。ディスク暗号化が有効化されると、データはディスクに書き込まれる前に自動的に暗号化され、許可されたユーザーが読み取る際に復号されます。このプロセスにはアプリケーションコードの変更は不要です。ディスク暗号化の詳細については、「ディスク暗号化」をご参照ください。
暗号化キー
Key Management Service (KMS) がディスク暗号化に必要なキーを提供します。KMS から、デフォルトキー(サービスキーおよびカスタマーマスターキー (CMK) を含む)、ソフトウェアで保護されたキー、ハードウェアで保護されたキーなど、複数種類のキーを選択してディスクを暗号化できます。以下の表に、これらのキーの違いを示します。
キーの種類 | 暗号化アルゴリズム | 料金 | 作成者 | キー素材のソース | 説明 | |
デフォルトキー | サービスキー | AES_256 | 無料 | Alibaba Cloud サービスがお客様に代わって作成・管理します。 | 削除または無効化できません。各ユーザーは、同一リージョン内で RDS 用のサービスキーを 1 つだけ持つことができます。 | |
カスタマーマスターキー (CMK) | あなた | KMS が生成したもの、またはお客様がインポートしたもの | ライフサイクルを管理できます。各ユーザーは、同一リージョン内でカスタマーマスターキー (CMK) を 1 つだけ持つことができます。 | |||
ソフトウェアで保護されたキーおよびハードウェアで保護されたキー | 有料 | お客様 | KMS が生成したもの、またはお客様がインポートしたもの | ライフサイクルを管理でき、複数のキーを作成できます。 | ||
ビジネスでインスタンス間のキー隔離を必要とせず、コスト削減を図りたい場合は、サービスキーまたはカスタマーマスターキー (CMK) などのデフォルトキーを選択できます。このオプションは無料ですが、数量制限があります。各ユーザーは、同一リージョン内で CMK およびサービスキーをそれぞれ 1 つずつしか持つことができません。
異なる RDS インスタンスに対して異なるキーを使用したい場合、または認証情報管理やデジタル署名などの高度な機能が必要な場合は、ソフトウェアまたはハードウェアのキーインスタンスを購入し、必要なキーを作成してください。詳細については、「KMS キーの選択」をご参照ください。
前提条件
RDS for MySQL の読み取り専用インスタンスに対しては、手動でディスク暗号化を有効化できません。
プライマリ RDS for MySQL インスタンスに対してディスク暗号化を有効化するには、以下の条件を満たす必要があります:
ストレージタイプが ESSD または パフォーマンス専有型ローカルディスク であることです。
プライマリインスタンスに読み取り専用インスタンスがアタッチされていないこと。 読み取り専用インスタンスがアタッチされている場合は、まず 読み取り専用インスタンスをリリースしたうえで、ディスク暗号化を有効化してください。プライマリインスタンスでディスク暗号化を有効化すると、そこから作成される新しい読み取り専用インスタンスは、デフォルトでディスク暗号化が有効化されます。
課金
ディスク暗号化機能は無料であり、ディスクの読み取り/書き込み操作についても追加料金は発生しません。
KMS がディスク暗号化のキーを管理します。サービスキーおよびカスタマーマスターキー (CMK) を含むデフォルトキーは無料です。ソフトウェアで保護されたキーおよびハードウェアで保護されたキーの利用には KMS が課金します。
制限事項
一度有効化すると、ディスク暗号化を無効化することはできません。
サービス中断: 既存のインスタンスに対するディスク暗号化の有効化またはキーの置き換えを行うと、約 30 秒間の短時間のサービス中断が発生します。アプリケーションに自動再接続メカニズムが実装されていることを確認してください。
バックアップおよび回復: ディスク暗号化を有効化した後は、秒単位のバックアップおよびバックアップのダウンロードはサポートされません。インスタンスのスナップショットおよびそれらのスナップショットから作成された他のインスタンスは、自動的に暗号化属性を継承します。
キーに関する制限: インスタンスタイプによって選択可能な KMS キーが制限されます。KMS の支払い遅延、またはキーの無効化・削除により、ディスク暗号化が有効化された一部のインスタンスに影響が出る可能性があります。
キー選択の制限: 汎用インスタンスタイプでは、サービスキーのみがサポートされます。専用型インスタンスタイプでは、サービスキーまたはカスタムキーがサポートされます。
KMS の支払い遅延による影響: ソフトウェアで保護されたキーまたはハードウェアで保護されたキーなどの有料キーを使用している場合、KMS インスタンスの支払い遅延により、暗号化されたディスクを復号できなくなり、インスタンス全体が利用不可になります。KMS インスタンスの更新を適切なタイミングで実施してください。
キーの無効化または削除による影響: カスタマーマスターキー (CMK)、ソフトウェアで保護されたキー、ハードウェアで保護されたキーなど、ライフサイクルを管理可能なキーの場合、キーを無効化または削除すると、関連付けられた RDS インスタンスがロックされます。これにより、インスタンスにアクセスできなくなり、バックアップ、構成変更、再起動、高可用性 (HA) スイッチオーバーなどのすべての運用管理 (O&M) 操作が失敗します。
ディスク暗号化の有効化
インスタンス作成時に暗号化を有効化
RDS for MySQL の購入ページに移動します。上部のナビゲーションバーで 標準作成 をクリックします。
ストレージタイプ でクラウドディスクを利用するディスクタイプを選択し、クラウドディスク暗号化 のチェックボックスをオンにします。
キーを選択します:
サービスキー(無料) を使用する場合: デフォルトサービス CMK を選択します。現在のリージョンにサービスキーが存在するかどうかに関わらず、このオプションを選択できます。
カスタマーマスターキー (CMK)(無料)、ソフトウェアで保護されたキー(有料)、または ハードウェアで保護されたキー(有料) を使用する場合: すでに目的のキーを作成済みであれば、ドロップダウンリストから選択します。未作成の場合は、今すぐ作成 をクリックして、KMS コンソールでキーを作成します。
説明現在のリージョンにサービスキーがない場合、デフォルトサービス CMK を選択すると、システムがエイリアス
alias/acs/rdsを持つサービスキーを自動的に作成します。現在のリージョンにサービスキーがすでに存在する場合、デフォルトサービス CMK を選択しても新しいキーは作成されません。代わりに、エイリアス
alias/acs/rdsを持つ既存のサービスキーがデフォルトで暗号化に使用されます。各 Alibaba Cloud サービスは、各リージョンでサービスキーを 1 つだけ持ちます。
必要に応じてその他のパラメーターを設定します。支払い完了後、インスタンス 一覧に移動し、対象のインスタンス ID をクリックします。基本情報 セクションにキーが表示されている場合、ディスク暗号化が有効化されています。
既存のインスタンスに対して暗号化を有効化
既存のインスタンスに対してディスク暗号化を有効化すると、約 30 秒間のサービス中断が発生します。アプリケーションに自動再接続メカニズムが実装されていることを確認してください。
インスタンス 一覧に移動し、上部でリージョンを選択してから、対象のインスタンス ID をクリックします。
左側のナビゲーションウィンドウで データセキュリティ をクリックします。
データ暗号化 タブで、クラウドディスク暗号化の有効化 をクリックします。
表示されるダイアログボックスでキーを選択し、OK をクリックします。インスタンスステータスが パラメーターの変更中 に変わります。
処理が完了するまで待ちます。インスタンスステータスが 実行中 に戻り、データ暗号化 タブに暗号化情報が表示された時点で、ディスク暗号化が有効化されます。
キーの置き換え
専用型インスタンスタイプを使用する暗号化済みの RDS for MySQL インスタンスに対しては、キーの置き換えが可能です。一方、汎用インスタンスタイプを使用する RDS for MySQL インスタンスでは、サービスキーのみが使用可能であり、キーの置き換えはサポートされません。
キーの置き換えにより、約 30 秒間のサービス中断が発生します。アプリケーションに自動再接続メカニズムが実装されていることを確認してください。
インスタンス 一覧に移動し、上部でリージョンを選択してから、対象のインスタンス ID をクリックします。
左側のナビゲーションウィンドウで データセキュリティ をクリックします。
データ暗号化 タブで、キーの置き換え をクリックします。
データディスクの暗号化キーの変更 ダイアログボックスでキーを選択し、OK をクリックします。
関連トピック
透過的データ暗号化 (TDE)、ディスク暗号化、常時機密データベースの比較については、「さまざまなデータベース暗号化技術の比較」をご参照ください。
他のデータベースエンジン向けのディスク暗号化の利用方法:
関連 API: DescribeDBInstanceEncryptionKey - ディスク暗号化のステータスおよびキーの詳細を照会