保存されたデータのセキュリティを強化するために、ディスク暗号化機能を有効にしてデータディスク全体を暗号化することができます追加料金なしで。 この機能により、インスタンスのパフォーマンスオーバーヘッドが最小限に抑えられ、データやバックアップのリークが発生した場合でもデータのセキュリティが確保されます。 インスタンスでこの機能を有効にすると、アプリケーションは変更なしでインスタンスのデータにアクセスできます。 さらに、インスタンスのスナップショットバックアップ内のすべてのデータは暗号化されたままです。
概要
仕組み
ディスク暗号化は、業界標準のAES-256暗号化アルゴリズムを活用して、データディスク全体を保護します。 有効になると、データはディスクへの書き込み時に自動的に暗号化され、暗号文として保存されます。 許可されたユーザーは、アプリケーションのコードを変更することなく、ディスクから復号化されたデータを読み取ることができます。 暗号化の原則の詳細については、「クラウドディスクの暗号化」をご参照ください。
暗号化キー
ディスク暗号化機能で使用されるキーは、Key Management Service (KMS) によって提供されます。 デフォルトキー (サービスキーと顧客マスターキー) 、ソフトウェアで保護されたキー、ハードウェアで保護されたキーなど、KMSが提供するさまざまなタイプのキーを使用して、データディスクを暗号化できます。
ほとんどの場合、サービスキーまたはカスタムマスターキー (CMK) のデフォルトキーを選択できます。 このキータイプは無料ですが、数量に限りがあります。 各ユーザーは、同じリージョン内のRDSのCMKとサービスキーを1つだけ持つことができます。 複数のキーを使用して異なるRDSインスタンスを暗号化する場合、またはより多くのキー関連機能 (資格情報管理や署名など) を使用する場合は、ソフトウェアキー管理またはハードウェアキー管理KMSインスタンスを購入し、要件に基づいてキーを作成できます。 詳細については、「ソフトウェアまたはハードウェアキーインスタンスの取得」および「インスタンスの選択」をご参照ください。
キータイプ | 暗号化アルゴリズム | コスト | 作成された | キー素材ソース | 説明 | |
デフォルトキー | サービスキー | AES_256 | 無料 | 対応するAlibaba Cloudサービスによって作成および管理される | サービスキーは削除または無効にできません。 各ユーザーは、同じリージョン内のRDSのサービスキーを1つだけ持つことができます。 | |
CMK | ユーザー | KMSによって生成されるか、ユーザーによってアップロードされる | ライフサイクルを通じてCMKを管理できます。 各ユーザーは、同じリージョンにCMKを1つだけ持つことができます。 | |||
ソフトウェア保護キー | 複数のアルゴリズム。 詳細については、「インスタンスの選択」をご参照ください。 | 課金対象 | ユーザー | KMSによって生成される | ライフサイクルを通じて、ソフトウェアまたはハードウェアで保護されたキーを管理できます。 複数のソフトウェアまたはハードウェアで保護されたキーを作成できます。 | |
ハードウェア保護キー | ユーザー | KMSによって生成されるか、ユーザーによってアップロードされる | ||||
前提条件
インスタンスのディスク暗号化を有効にするには、インスタンスが次の要件を満たす必要があります。
インスタンスのストレージタイプは、ESSD、一般ESSD、、または標準SSDです。
インスタンスの課金方法がサーバーレスではありません。 サーバーレスRDSインスタンスはディスク暗号化をサポートしていません。
ディスク暗号化を使用するには、Alibaba Cloudアカウントを使用してRDSにKMSへのアクセスを許可する必要があります。 詳細については、「ApsaraDB RDSによるKMSへのアクセス許可」をご参照ください。
課金
ディスク暗号化は追加料金なしで提供されます。 ディスク暗号化が有効になっているインスタンスのディスクに対して読み取りまたは書き込み操作を実行する場合、追加料金は発生しません。
ディスクの暗号化に使用されるキーは、KMSによって管理されます。 いくつかの種類のキーが課金されます。
デフォルトキー (サービスキーとCMK): 無料。
ソフトウェアおよびハードウェアで保護されたキー: KMSによって請求されます。 詳細については、「KMS の概要」をご参照ください。
使用上の注意
一度有効にすると、ディスク暗号化を無効にできません。
コードの変更: ディスクの暗号化は、RDSインスタンスで実行されているビジネスには影響しません。 ディスク暗号化が有効になっているRDSインスタンスのデータにアクセスするために、アプリケーションのコードを変更する必要はありません。
インスタンスの切断: 既存のインスタンスのディスク暗号化を有効にするか、インスタンスの暗号化キーを変更すると、プライマリ /セカンダリの切り替えが実行されます。 切り替え中、インスタンスへの接続は30秒以内に中断されます。 アプリケーションがインスタンスに自動的に再接続できることを確認します。
バックアップとリカバリ: インスタンスのディスク暗号化を有効にすると、インスタンスは数秒以内のバックアップ、クロスリージョンバックアップ、またはバックアップダウンロードをサポートしません。 インスタンスおよびこれらのバックアップから作成されたインスタンスのスナップショットバックアップは暗号化されたままです。
キーの制限: ディスクの暗号化に使用できるKMSキーは、インスタンスタイプによって異なります。 ディスク暗号化に使用されているキーを無効化または削除した場合、またはKMSの支払い料金が滞った場合、ディスク暗号化が有効になっているインスタンスは正常に実行できません。
キー選択の制限: 汎用インスタンスはディスク暗号化用のサービスキーのみをサポートし、専用インスタンスはサービスキーまたはその他の種類のカスタムキーをサポートします。
KMSの延滞支払いの影響: ディスク暗号化に有料キー (ソフトウェアまたはハードウェアで保護されたキー) を使用し、KMSの延滞支払いがある場合、これらのキーで暗号化されたインスタンスのディスクは復号化できず、インスタンスは使用できなくなります。 この場合、KMSインスタンスを更新します。
キーの無効化または削除の影響: インスタンスのライフサイクル内で管理できるキー (CMK、ソフトウェア保護キー、ハードウェア保護キーなど) を無効化または削除した場合、インスタンスはロックされ、使用できなくなります。 この場合、インスタンスに対してデータバックアップ、仕様変更、再起動、HA切り替えなどのO&M操作を実行できません。
ディスク暗号化の有効化
インスタンス作成時のディスク暗号化の有効化
ApsaraDB RDS for MySQL購入ページに移動します。 [標準作成] タブを選択します。
ストレージタイプとして [ESSD] または [一般ESSD] を選択し、[クラウドディスク暗号化] を選択します。
ディスクの暗号化に使用するキーを選択します。
サービスキー (無料) を使用するには、現在のリージョンでサービスキーを作成したかどうかに関係なく、[デフォルトサービスCMK] を選択します。
既存のCMK (無料) 、ソフトウェア保護キー (有料) 、またはハードウェア保護キー (有料) を使用するには、ドロップダウンリストからキーを選択します。 キーが存在しない場合は、[今すぐ作成] をクリックして、KMSコンソールでキーを作成できます。
説明現在のリージョンにサービスキーが存在しない場合、[デフォルトサービスCMK] を選択すると、エイリアスがalias/acs/rdsのサービスキーが自動的に作成されます。
エイリアスがalias/acs/rdsのサービスキーが現在のリージョンに既に存在する場合、サービスキーはデフォルトでディスクの暗号化に使用されます。 同じリージョン内のサービスで使用できるサービスキーは1つだけです。
インスタンスを作成したら、[インスタンス] ページに移動し、インスタンスのIDをクリックします。 インスタンスの詳細ページで、[基本情報] セクションに暗号化キーが表示されているかどうかを確認します。 暗号化キーが表示されると、インスタンスのディスク暗号化が有効になります。
既存のインスタンスのディスク暗号化の有効化
既存のインスタンスのディスク暗号化を有効にすると、プライマリ /セカンダリの切り替えが発生します。 切り替え中、インスタンスへの接続が30秒以内に中断される可能性があります。 アプリケーションがインスタンスに自動的に再接続できることを確認します。
RDSコンソールの [インスタンス] ページに移動し、上部のナビゲーションバーでインスタンスのリージョンを選択します。 次に、ディスク暗号化を有効にするインスタンスのIDをクリックします。
左側のナビゲーションウィンドウで、[セキュリティコントロール] をクリックします。
表示されるページで、[データ暗号化] タブをクリックします。 次に、[クラウドディスク暗号化の有効化] をクリックします。
表示されるダイアログボックスで、暗号化キーを選択し、[OK] をクリックします。 インスタンスのステータスが [パラメーターの変更] に変わります。
インスタンスのステータスが [実行中] に変わり、暗号化情報が [データ暗号化] タブに表示されるまで待ちます。 インスタンスのディスク暗号化が有効になっています。
暗号化キーの変更
専用RDS for MySQLインスタンスでディスク暗号化が有効になっている場合、次の手順を実行して、ディスク暗号化に使用されるキーを変更できます。 汎用インスタンスの暗号化キーは変更できません。
暗号化キーの変更により、プライマリ /セカンダリの切り替えが行われます。 切り替え中、インスタンスへの接続が30秒以内に中断される可能性があります。 アプリケーションがインスタンスに自動的に再接続できることを確認します。
RDSコンソールの [インスタンス] ページに移動し、上部のナビゲーションバーでインスタンスのリージョンを選択します。 次に、暗号化キーを変更するインスタンスのIDをクリックします。
左側のナビゲーションウィンドウで、[セキュリティコントロール] をクリックします。
表示されるページで、[データ暗号化] タブをクリックします。 次に、[キーの置換] をクリックします。
[データディスクの暗号化キーの変更] ダイアログボックスで、新しいキーを選択し、[OK] をクリックします。
関連ドキュメント
透過的データ暗号化 (TDE) 、ディスク暗号化、および常に機密データベースの違いについては、「異なるデータベース暗号化方法の比較」をご参照ください。
他のデータベースエンジンを実行するRDSインスタンスでディスク暗号化を使用する方法の詳細については、以下のトピックを参照してください。
インスタンスのディスク暗号化ステータスと暗号化キーを照会するために呼び出すことができるAPI操作の詳細については、「DescribeDBInstanceEncryptionKey」をご参照ください。