すべてのプロダクト
Search

このプロダクト

    ApsaraDB RDS:ディスク暗号化

    ドキュメントセンター

    ApsaraDB RDS:ディスク暗号化

    最終更新日:Oct 21, 2025

    保存データのセキュリティを強化するため、追加費用なしで 利用できるディスク暗号化機能を有効にできます。この機能はデータディスク全体を暗号化するため、物理ストレージやバックアップが侵害された場合でも、データを復号できないようにします。ディスク暗号化を有効にする際に アプリケーションコードを変更する必要はなく、インスタンスのパフォーマンスへの影響も最小限に抑えられます。暗号化されたデータから作成されたスナップショットも暗号化されます。

    概要

    仕組み

    ディスク暗号化は、業界標準の AES-256 アルゴリズムを使用して、保存されているデータディスク全体を暗号化します。有効にすると、データはディスクに書き込まれる前に自動的に暗号化され、暗号文として保存されます。これにより、ストレージやバックアップが侵害された場合でも、データが読み取れなくなります。承認されたユーザーがデータを読み取ると、自動的に復号されます。この復号プロセスはアプリケーションに対して透過的であり、コードの変更は必要ありません。暗号化の原則の詳細については、「クラウドディスクの暗号化」をご参照ください。

    暗号化キー

    ディスク暗号化に必要な暗号化キーは、Key Management Service (KMS) によって提供されます。KMS のいくつかのキータイプを使用してクラウドディスクを暗号化できます。これには、デフォルトキー (サービスキーとカスタマーマスターキー)、ソフトウェア保護キー、ハードウェア保護キーなどがあります。これらのキータイプの違いは以下の通りです。

    キータイプ

    暗号化アルゴリズム

    コスト

    作成者

    キーマテリアルのソース

    説明

    デフォルトキー

    サービスキー

    AES_256

    無料

    対応する Alibaba Cloud サービスによって作成および管理されます

    削除または無効化できません。各ユーザーは、同一リージョン内で ApsaraDB RDS (RDS) 用のサービスキーを 1 つに制限されます。

    カスタマーマスターキー (CMK)

    お客様

    KMS によって生成、またはお客様がインポート

    ライフサイクルを管理できます。各ユーザーは、同一リージョン内で 1 つの CMK に制限されます。

    ソフトウェア保護キーとハードウェア保護キー

    複数のアルゴリズム

    有料

    お客様

    KMS によって生成、またはお客様がインポート

    ライフサイクルを管理し、複数のキーを作成できます。

    • ビジネス上、インスタンス間のキー分離が不要で、コストを最小限に抑えたい場合は、デフォルトキー (サービスキーまたは CMK) を選択してください。これらのキーは無料ですが、数量に制限があります。同一リージョン内で、各ユーザーが利用できる RDS 用の CMK とサービスキーは、それぞれ 1 つのみです。

    • 異なる RDS インスタンスを異なるキーで暗号化する必要がある場合や、認証情報管理やデジタル署名などの高度な機能が必要な場合は、ソフトウェアまたはハードウェアキーインスタンスを購入し、対応するキーを作成します。詳細については、「インスタンスの選択」をご参照ください。

    前提条件

    • RDS for MySQL の読み取り専用インスタンスでは、ディスク暗号化を手動で有効にすることはできません。

    • RDS for MySQL のプライマリインスタンスでディスク暗号化を有効にするには、インスタンスが次の条件を満たしている必要があります。

      • インスタンスは [ESSD][プレミアム ESSD]、または [標準 SSD] を使用している。

      • インスタンスに読み取り専用インスタンスが作成されていないこと。そうでない場合は、ディスク暗号化を有効にする前に、まず読み取り専用インスタンスをリリースする必要があります。プライマリインスタンスでディスク暗号化を有効にすると、その後に作成されるすべての読み取り専用インスタンスでも、ディスク暗号化がデフォルトで有効になります。

    • Alibaba Cloud アカウントを使用して、RDS に KMS へのアクセス権限を付与する必要があります。

    課金

    • ディスク暗号化機能は無料です。有効にした後、ディスクの読み取りまたは書き込み操作に追加料金はかかりません。

    • 暗号化キーは KMS が管理します。デフォルトキー (サービスキーおよび CMK) は無料ですが、ソフトウェア保護キーおよびハードウェア保護キーの使用はKMS によって課金されます。

    制限事項

    • 一度有効にすると、ディスク暗号化は無効にできません。

    • サービス中断: 既存のインスタンスでディスク暗号化を有効にするか、暗号化キーを変更すると、約 30 秒間の短いサービス中断が発生します。アプリケーションがインスタンスに自動的に再接続できることを確認してください。

    • バックアップとリカバリ: ディスク暗号化を有効にすると、インスタンスは秒単位バックアップ、 リージョン間バックアップバックアップのダウンロード といった機能をサポートしなくなります。インスタンスのスナップショット、およびそれらから作成されたインスタンスは自動的に暗号化されます。

    • キー: インスタンスタイプによって、選択できる KMS キーが制限されます。KMS の支払い遅延、またはキーの無効化や削除は、暗号化されたインスタンスに影響を与える可能性があります。

      • キーの選択: 汎用インスタンスタイプはサービスキーのみをサポートします。専用インスタンスタイプは、サービスキーのほか、ユーザー管理のキーも使用できます。

      • KMS の支払い遅延による影響: 有料のキータイプ (ソフトウェア保護キーやハードウェア保護キーなど) を使用している場合、KMS の支払い遅延によりディスクの復号ができなくなり、インスタンス全体が利用不能になります。KMS インスタンスを期限内に更新してください。

      • キーの無効化または削除による影響: ライフサイクルを管理できるキー (CMK、ソフトウェア保護キー、ハードウェア保護キーなど) の場合、キーを無効化または削除すると、関連する RDS インスタンスがロックされます。インスタンスはアクセス不能になり、正常に機能しなくなります。バックアップ、設定変更、再起動、スイッチオーバーなど、すべての運用操作が失敗します。

    ディスク暗号化の有効化

    インスタンス作成時のディスク暗号化の有効化

    1. RDS for MySQL 購入ページに移動します。上部のナビゲーションバーで、[標準作成] タブを選択します。

    2. [ストレージタイプ][ESSD] または [プレミアム ESSD] を選択し、 [クラウドディスク暗号化] を選択します。

    3. 暗号化キーを選択します。

      • サービスキー(無料)を使用するには、現在のリージョンでサービスキーを作成したかどうかに関係なく、[デフォルトサービス CMK] を選択できます。

      • 既存の CMK (無料)ソフトウェア保護キー (有料)、または ハードウェア保護キー (有料) を使用するには、ドロップダウンリストからキーを選択します。キーが存在しない場合は、[今すぐ作成] をクリックして KMS コンソールでキーを作成できます。

        説明

        • 現在のリージョンにサービスキーがない場合、[デフォルトサービス CMK] を選択すると、エイリアス alias/acs/rds を持つサービスキーが自動的に作成されます。

        • サービスキーが既に存在する場合、[デフォルトサービス CMK] を選択しても新しいキーは作成されません。代わりに、エイリアス alias/acs/rds を持つ既存のサービスキーがデフォルトで暗号化に使用されます。各サービスは、リージョンごとに 1 つのサービスキーしか持ちません。

    4. 必要に応じて他のパラメーターを設定します。支払いが完了したら、[インスタンス] ページに移動します。ターゲットインスタンスの ID をクリックします。[基本情報] セクションで、暗号化キー情報が表示されていれば、ディスク暗号化は有効です。

    既存のインスタンスでのディスク暗号化の有効化

    重要

    既存のインスタンスでディスク暗号化を有効にすると、約 30 秒の短いサービス中断が発生します。アプリケーションがインスタンスに自動的に再接続できることを確認してください。

    1. RDS コンソールの [インスタンス] ページに移動します。上部のナビゲーションバーでインスタンスのリージョンを選択します。その後、インスタンスの ID をクリックします。

    2. 左側のナビゲーションウィンドウで、[データセキュリティ] をクリックします。

    3. 表示されたページで、[データ暗号化] タブをクリックし、[クラウドディスク暗号化を有効化] をクリックします。

    4. 表示されたダイアログボックスで、暗号化キーを選択し、[OK] をクリックします。インスタンスのステータスが [パラメーターの変更中] に変わります。

    5. インスタンスのステータスが [実行中] に変わり、暗号化情報が [データ暗号化] タブに表示されるまで待ちます。image

    暗号キーの変更

    専用 インスタンスタイプの ApsaraDB RDS for MySQL インスタンスでディスク暗号化が有効な場合、以下の手順でディスク暗号化に使用するキーを変更できます。汎用インスタンスタイプではサービスキーしか使用できないため、キーの置き換えはサポートされていません。

    重要

    暗号化キーを変更すると、約 30 秒間の短いサービス中断が発生します。アプリケーションがインスタンスに自動的に再接続できることを確認してください。

    1. RDS コンソールの [インスタンス] ページに移動します。上部のナビゲーションバーでインスタンスのリージョンを選択します。その後、インスタンスの ID をクリックします。

    2. 左側のナビゲーションウィンドウで、[データセキュリティ] をクリックします。

    3. 表示されるページで、[データ暗号化] タブをクリックします。 次に、[キーの置換] をクリックします。

    4. [データディスクの暗号化キーの変更] ダイアログボックスで、新しいキーを選択し、[OK] をクリックします。

    関連トピック