ApsaraDB RDS:ディスク暗号化

概要

仕組み

ディスク暗号化は、業界標準の AES-256 暗号化アルゴリズムを活用して、データディスク全体を保護します。有効にすると、データはディスクへの書き込み時に自動的に暗号化され、暗号文として保存されます。 許可されたユーザーは、アプリケーションのコードを変更することなく、ディスクから復号化されたデータを読み取ることができます。 暗号化の原則の詳細については、「クラウドディスクの暗号化」をご参照ください。

暗号鍵

ディスク暗号化機能で使用される鍵は、Key Management Service (KMS) によって提供されます。 デフォルト鍵（サービス鍵とカスタマーマスターキー）、ソフトウェア保護鍵、ハードウェア保護鍵など、KMS が提供するさまざまな種類の鍵を使用して、データディスクを暗号化できます。

ほとんどの場合、サービス鍵またはカスタマーマスターキー (CMK) のいずれかであるデフォルト鍵を選択できます。 この鍵タイプは無料ですが、数量に制限があります。 各ユーザーは、同じリージョン内で RDS 用の CMK を 1 つだけ、サービス鍵を 1 つだけ持つことができます。 複数の鍵を使用して異なる RDS インスタンスを暗号化する場合、またはより多くの鍵関連機能（資格情報管理や署名など）を使用する場合は、ソフトウェア鍵管理またはハードウェア鍵管理 KMS インスタンスを購入し、要件に基づいて鍵を作成できます。 詳細については、「ソフトウェアまたはハードウェア鍵インスタンスを取得する」および「インスタンスの選択」をご参照ください。

前提条件

• RDS インスタンスが次の要件を満たしていること。

  • RDS インスタンスのストレージタイプは、ESSD、Premium ESSD、またはStandard SSD注: である必要があります。

  • RDS インスタンスは、RDS Basic Edition を実行していない、またはサーバーレス課金方法を使用していないこと。

• Alibaba Cloud アカウントを使用して、ApsaraDB RDS が KMS にアクセスすることを承認していること。 詳細については、「ApsaraDB RDS が KMS にアクセスすることを承認する」をご参照ください。

課金

ディスク暗号化が有効になっているインスタンスのディスクに対する読み取りまたは書き込み操作に対して、追加料金は発生しません。 ただし、KMS が提供するソフトウェア保護鍵またはハードウェア保護鍵を使用してディスクを暗号化する場合、料金が発生します。

使用上の注意

• コードの変更: ディスク暗号化は、RDS インスタンスで実行されているビジネスに影響を与えません。 ディスク暗号化が有効になっている RDS インスタンスのデータにアクセスするために、アプリケーションのコードを変更する必要はありません。

• バックアップとリカバリ: インスタンスに対してディスク暗号化を有効にした後、インスタンスは数秒以内のバックアップ、リージョン間バックアップ、または バックアップのダウンロードをサポートしません。 インスタンスのスナップショットバックアップと、これらのバックアップから作成されたインスタンスは、暗号化されたままです。

• 鍵の制限: ディスク暗号化に使用できる KMS 鍵は、インスタンスタイプによって異なります。 ディスク暗号化に使用されている鍵を無効化または削除した場合、または KMS の支払いが遅延している場合、ディスク暗号化が有効になっているインスタンスは正しく実行できません。

  • 鍵の選択に関する制限注:: 汎用インスタンスはディスク暗号化にサービス鍵のみをサポートしますが、専用インスタンスはサービス鍵またはその他の種類のカスタム鍵をサポートします。

  • KMS 支払い遅延の影響: ディスク暗号化に課金対象の鍵（ソフトウェア保護鍵またはハードウェア保護鍵）を使用していて、KMS の支払いが遅延している場合、これらの鍵で暗号化されたインスタンスのディスクを復号化できなくなり、インスタンスが使用できなくなります。 この場合、KMS インスタンスを更新してください。

  • 鍵の無効化または削除の影響: インスタンスのライフサイクル内で管理できる鍵（CMK、ソフトウェア保護鍵、ハードウェア保護鍵など）を無効化または削除すると、インスタンスはロックされ、使用できなくなります。 この場合、インスタンスでデータバックアップ、仕様変更、再起動、HA スイッチオーバーなどの O&M 操作を実行できません。

ディスク暗号化を有効にする

インスタンスの作成時にクラウドディスクの暗号化を有効にする

1. RDS for MySQL 購入ページに移動します。 [標準作成] タブを選択します。

2. [ストレージタイプ] で [ESSD] または [Premium ESSD] を選択し、[クラウドディスク暗号化] を選択します。

3. ディスク暗号化に使用する鍵を選択します。

   • サービス鍵（無料）を使用するには、現在のリージョンでサービス鍵を作成したかどうかに関係なく、[デフォルトサービス CMK] を選択できます。

   • 既存のCMK（無料）、ソフトウェア保護鍵（有料）、またはハードウェア保護鍵（有料）を使用するには、ドロップダウンリストから鍵を選択します。 鍵が存在しない場合は、[今すぐ作成] をクリックして、KMS コンソールで鍵を作成できます。

     説明

     • 現在のリージョンにサービス鍵が存在しない場合、[デフォルトサービス CMK] を選択すると、エイリアス alias/acs/rds を持つサービス鍵が自動的に作成されます。

     • エイリアス alias/acs/rds を持つサービス鍵が現在のリージョンにすでに存在する場合、デフォルトでそのサービス鍵がディスク暗号化に使用されます。 同じリージョン内のサービスでは、1 つのサービス鍵のみ使用できます。

4. インスタンスを作成した後、インスタンス ページに移動し、インスタンスの ID をクリックします。 インスタンスの詳細ページで、[基本情報] セクションに暗号鍵が表示されているかどうかを確認します。 暗号鍵が表示されている場合、インスタンスに対してディスク暗号化が有効になっています。

既存のインスタンスに対してディスク暗号化を有効にする

1. RDS コンソールの インスタンス ページに移動し、上部のナビゲーションバーでインスタンスのリージョンを選択します。 次に、ディスク暗号化を有効にするインスタンスの ID をクリックします。

2. 左側のナビゲーションウィンドウで、[データセキュリティ] をクリックします。

3. 表示されるページで、[データ暗号化] タブをクリックします。 次に、[クラウドディスクの暗号化を有効にする] をクリックします。

4. 表示されるダイアログボックスで、暗号鍵を選択し、[OK] をクリックします。 インスタンスのステータスが [パラメータの変更中] に変わります。

5. インスタンスのステータスが [実行中] に変わり、[データ暗号化] タブに暗号化情報が表示されるまで待ちます。 インスタンスに対してディスク暗号化が有効になっています。

   

暗号鍵を変更する

専用 RDS for MySQL インスタンスに対してディスク暗号化が有効になっている場合、次の手順を実行して、ディスク暗号化に使用される鍵を変更できます。 汎用インスタンスの暗号鍵を変更することはできません。

1. RDS コンソールの インスタンス ページに移動し、上部のナビゲーションバーでインスタンスのリージョンを選択します。 次に、暗号鍵を変更するインスタンスの ID をクリックします。

2. 左側のナビゲーションウィンドウで、[データセキュリティ] をクリックします。

3. 表示されるページで、[データ暗号化] タブをクリックします。 次に、[鍵の置換] をクリックします。

4. [データディスクの暗号鍵の変更] ダイアログボックスで、新しい鍵を選択し、[OK] をクリックします。

関連情報

• TDE を構成する

• Always Confidential Database (パブリックプレビュー)

• 透過的データ暗号化 (TDE)、ディスク暗号化、および Always Confidential Database の違いについては、「さまざまなデータベース暗号化方法の比較」をご参照ください。

• 他のデータベースエンジンを実行する RDS インスタンスでディスク暗号化を使用する方法の詳細については、次のトピックをご参照ください。

  • RDS for SQL Server インスタンスのディスク暗号化を構成する

  • RDS for PostgreSQL インスタンスのディスク暗号化を構成する

  • RDS for MariaDB インスタンスのディスク暗号化を構成する

• インスタンスのディスク暗号化ステータスと暗号鍵を照会するために呼び出すことができる API 操作の詳細については、「DescribeDBInstanceEncryptionKey」をご参照ください。