ApsaraDB RDS for PostgreSQL インスタンスのクラウドディスク暗号化機能の使用 - ApsaraDB RDS

ApsaraDB RDS for PostgreSQL は、データセキュリティを確保するためにクラウドディスク暗号化機能を無料で提供しています。 ApsaraDB RDS for PostgreSQL インスタンスでクラウドディスク暗号化機能を使用する場合、RDS インスタンス用に作成されたスナップショットは自動的に暗号化されるため、アプリケーションの構成を変更する必要はありません。

背景情報

クラウドディスク暗号化はデータを保護し、ビジネスまたはアプリケーションの構成を変更する必要性を排除します。さらに、ApsaraDB RDS は、暗号化されたクラウドディスクから生成されたスナップショットと、それらのスナップショットから作成されたクラウドディスクの両方に、クラウドディスク暗号化を自動的に適用します。

クラウドディスク暗号化機能は無料で提供されます。暗号化されたクラウドディスクで実行する読み取りおよび書き込み操作に対して課金されることはありません。

前提条件

RDS インスタンスが以下の要件を満たしていること。
- RDS インスタンスは、RDS Basic Edition、RDS High-availability Edition、または RDS Cluster Edition を実行している。
- RDS インスタンスは、エンタープライズ SSD（ESSD）またはプレミアム ESSD を使用している。
説明
サーバーレス RDS インスタンスでは、クラウドディスク暗号化機能はサポートされていません。
Key Management Service（KMS）がアクティブ化されている。詳細については、「KMS インスタンスを購入して有効化する」をご参照ください。

注意事項

クラウドディスク暗号化機能はビジネスを中断せず、アプリケーションを変更する必要はありません。
RDS インスタンスのクラウドディスク暗号化機能を有効にすると、RDS インスタンス用に作成されたスナップショットは自動的に暗号化されます。暗号化されたスナップショットを使用してクラウドディスクを使用する RDS インスタンスを作成すると、新しい RDS インスタンスのクラウドディスク暗号化機能が自動的に有効になります。
KMS インスタンスの期限が切れている場合、RDS インスタンスのクラウドディスクを復号化できません。 KMS インスタンスが正常であることを確認してください。詳細については、「Key Management Service とは」をご参照ください。
クラウドディスク暗号化に使用されている KMS キーを無効化または削除すると、RDS インスタンスは期待どおりに実行されません。この場合、RDS インスタンスはロックされ、アクセスできなくなります。また、RDS インスタンスですべての O&M 操作を実行することはできません。たとえば、バックアップの実行、インスタンス仕様の変更、RDS インスタンスのクローン作成または再起動、高可用性スイッチオーバーの実行、インスタンスパラメータの変更はできません。これらの問題を防ぐために、ApsaraDB RDS によって管理されているサービスキーを使用することをお勧めします。
汎用インスタンスタイプとクラウドディスクを使用する RDS インスタンスを作成する場合、ApsaraDB RDS によって管理されるサービスキーのみを選択して、RDS インスタンスのクラウドディスク暗号化機能を有効にすることができます。専用インスタンスタイプとクラウドディスクを使用する RDS インスタンスを作成する場合、ApsaraDB RDS によって管理されるサービスキーまたは CMK を選択して、RDS インスタンスのクラウドディスク暗号化機能を有効にすることができます。詳細については、「[製品の変更/機能の変更] ApsaraDB RDS のクラウドディスク暗号化機能は 2024 年 1 月 15 日から調整されます」をご参照ください。
[データセキュリティ] ページの [データ暗号化] タブでクラウドディスク暗号化機能を有効または無効にするか、機能設定を変更すると、RDS インスタンスが再起動され、一時的な切断が発生します。アプリケーションが RDS インスタンスに自動的に再接続するように構成されていることを確認してください。

クラウドディスク暗号化機能を有効にする

新しい RDS インスタンスのクラウドディスク暗号化機能を有効にする

前提条件が満たされ、RDS インスタンスが作成されている場合、[ストレージタイプ] パラメータの右側にある [ディスク暗号化] を選択し、キーを指定できます。詳細については、「前提条件」をご参照ください。デフォルトでは、デフォルトサービス CMK が選択されています。

RDS インスタンスを作成します。詳細については、「ApsaraDB RDS for PostgreSQL インスタンスを作成する」をご参照ください。

既存の RDS インスタンスのクラウドディスク暗号化機能を有効にする

[インスタンス] ページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけ、インスタンスの ID をクリックします。
左側のナビゲーションウィンドウで、[データセキュリティ] をクリックします。
[データ暗号化] タブで、[暗号化を有効にする] をクリックします。
表示されるダイアログボックスで、ビジネス要件に基づいてキーを選択し、[OK] をクリックします。
自動生成キーの使用を選択することをお勧めします。この値は、Alibaba Cloud によって自動的に生成され、ApsaraDB RDS によって管理されるサービスキーを指定します。
RDS インスタンスのクラウドディスク暗号化機能を有効にすると、RDS インスタンスのステータスが変更されます。 RDS インスタンスのステータスが [実行中] に変わると、クラウドディスク暗号化機能が有効になります。

説明

RDS インスタンスの [基本情報] ページ、または [データセキュリティ] ページの [データ暗号化] タブに移動して、RDS インスタンスのクラウドディスク暗号化機能を有効にするために使用されるキーを表示できます。
KMS コンソールで、現在のアカウント内のすべてのキーを表示できます。 Alibaba Cloud サービスによって管理されているキーを表示するには、次の操作を実行します。KMS コンソールの左側のナビゲーションページで、[キー] をクリックします。表示されるページで、[デフォルトキー] タブをクリックし、表示するキーを見つけます。 [キーの使用法] 列の値が [サービスキー] の場合、キーは Alibaba Cloud サービスによって管理されるサービスキーです。 ApsaraDB RDS によって管理されるサービスキーのエイリアスは、alias/acs/rds です。キーが見つからない場合は、リージョンにサービスキーが作成されていません。 ApsaraDB RDS コンソールでインスタンスの作成中にディスク暗号化機能を有効にし、デフォルトサービス CMK を選択すると、システムは自動的にサービスキーを作成します。
デフォルトサービス CMK のキースペックは Aliyun_AES_256 です。キーローテーション機能はデフォルトで無効になっています。キーローテーション機能を有効にする場合は、KMS コンソールで購入してください。詳細については、「キーローテーションを設定する」をご参照ください。

クラウドディスク暗号化機能を有効にするために使用されるサービスキーを変更する

[インスタンス] ページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけ、インスタンスの ID をクリックします。
左側のナビゲーションウィンドウで、[データセキュリティ] をクリックします。
[データ暗号化] タブで、[キーを変更] をクリックします。
表示されるダイアログボックスで、ビジネス要件に基づいてキーを選択し、[OK] をクリックします。

クラウドディスク暗号化機能を無効にする

[インスタンス] ページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけ、インスタンスの ID をクリックします。
左側のナビゲーションウィンドウで、[データセキュリティ] をクリックします。
[データ暗号化] タブで、[キーを変更] をクリックします。
表示されるダイアログボックスで、[キーを閉じる] を選択し、[OK] をクリックします。

ApsaraDB RDS:クラウドディスク暗号化機能の使用