常時機密データベース機能は、ご利用の ApsaraDB RDS for MySQL インスタンス内の特定の列 (クレジットカード番号や国民識別番号など) を暗号化します。これにより、クラウドプラットフォームのオペレーターやその他の高権限ユーザーは、プレーンテキスト値を読み取ることができなくなります。暗号化された列は、認可されたクライアントを介して復号されるまで、データベースユーザーには表示されません。
前提条件
開始する前に、以下をご確認ください。
マイナーエンジンバージョンが 20240731 以降の MySQL 5.7 または MySQL 8.0 を実行している ApsaraDB RDS for MySQL インスタンス。アップグレードについては、「マイナーエンジンバージョンの更新」をご参照ください。
インスタンスの特権アカウント。このガイドのすべての操作には、特権アカウントが必要です。
課金
この機能は無料です。
制限事項
インスタンスの再起動が必要:この機能を有効にすると、ご利用の RDS インスタンスが再起動します。この操作はオフピーク時間にスケジュールしてください。
パフォーマンスへの影響:この機能を有効にすると、インスタンスのパフォーマンスに軽微な影響があります。データ保護ルールを設定したり、暗号化された列を操作したりすると、パフォーマンスがさらに低下する可能性があります。
書き込みワークロードにはドライバーの統合が必要:アプリケーションがデータの読み取りと書き込みの両方を行う場合は、暗号化された列に書き込む前に、Alibaba Cloud ドライバーをアプリケーションに統合してください。ドライバーがない場合、暗号化されたデータはそのままデータベースに書き込まれ、操作不能になります。
最初にデータ保護ルールを設定:この機能は、データ保護ルールに従って列を暗号化します。保護対象の列がない状態で機能がアクティブになるのを避けるため、有効化する前にルールを設定してください。詳細については、「データ保護ルールの管理」をご参照ください。
ディスクレベルの保護に対して TDE を有効化する(推奨): 透過的データ暗号化 (TDE) は、ディスク上の静的データを保護し、カラムレベルの暗号化を補完します。詳細については、「TDE の設定」をご参照ください。
常時機密データベース機能の有効化
要件を満たすインスタンスをお持ちでない場合は、インスタンスを作成してください。作成手順については、「ApsaraDB RDS for MySQL インスタンスの作成」をご参照ください。また、サポートされているインスタンスタイプについては、「標準プライマリ ApsaraDB RDS for MySQL インスタンス向けインスタンスタイプ (従来の x86 アーキテクチャ)」または「YiTian プライマリ ApsaraDB RDS for MySQL インスタンス向けインスタンスタイプ (従来の ARM アーキテクチャ)」をご参照ください。既存のインスタンスがすでに前提条件を満たしている場合は、このステップをスキップしてください。
特権アカウントを作成します。詳しくは、「ApsaraDB RDS for MySQL インスタンスにアカウントを作成する」をご参照ください。
データベースを作成します。詳細については、「データベースの管理」をご参照ください。
ApsaraDB RDS コンソールにログインします。[インスタンス] ページで、インスタンスが存在するリージョンを選択し、インスタンス ID をクリックします。
機能を有効にします。左側のナビゲーションウィンドウで [パラメーター] をクリックします。[変更可能なパラメーター] タブで、
loose_encdbを [ON] に設定します。右上隅にある [変更を適用] をクリックし、有効開始時刻を選択してから [OK] をクリックします。警告このステップでは、ご利用の RDS インスタンスが再起動します。影響を最小限に抑えるため、オフピーク時間に実行してください。
次のステップ
特徴量が有効になった後、暗号化する列を指定するためにデータ保護ルールを設定します。詳細については、「データ保護ルールの管理」をご参照ください。
常時機密データベース機能の概要については、「概要」および「メリット」をご参照ください。列レベル暗号化に加えて、ディスク上の静止データを保護するには、「TDE の設定」をご参照ください。