常時機密データベース機能は、ApsaraDB RDS for PostgreSQLインスタンスの機密データ列を暗号化します。 これにより、クラウドプラットフォームのソフトウェアとツールを使用して、権限のないユーザーが保護されたデータ列の平文にアクセスできなくなります。 これにより、機密データ列は使用できますが、データベースユーザーには表示されません。 デフォルトでは、常に機密のデータベース機能はApsaraDB RDS for PostgreSQLと統合されています。 ただし、この機能を使用する前に、必要な設定を完了する必要があります。 このトピックでは、RDSインスタンスの常時機密データベース機能を有効にする方法について説明します。
サポートされているインスタンスタイプ
常時機密データベース機能は、インスタンスタイプに関係なく、すべての標準RDSインスタンスでサポートされています。 この機能は、Intel SGXベースのセキュリティ強化インスタンスタイプの要件を満たす2つのエディションを提供します。
エディション | インスタンスファミリー |
基本版の常時機密データベース機能 | Intel SGXベースのセキュリティ強化インスタンスタイプ以外のインスタンスタイプ |
ハードウェア拡張版の常時機密データベース機能 (Intel SGXベース) | Intel SGXベースのセキュリティ強化インスタンスタイプ |
常時機密データベース機能のセキュリティレベルは、機能のエディションによって異なります。 詳細については、「常に機密のデータベース機能によって提供されるセキュリティレベル」をご参照ください。
常時機密データベース機能の基本版を使用するには、RDSインスタンスのマイナーエンジンバージョンが20230830以降であることを確認します。
サーバーレスRDSインスタンスはサポートされていません。
YiTian RDSインスタンスはサポートされていません。
サポートされているインスタンスタイプの詳細については、「Primary ApsaraDB RDS For PostgreSQLインスタンスタイプ」をご参照ください。 次のセクションでは、常に機密データベース機能のハードウェア拡張版 (Intel SGXベース) でサポートされているインスタンスタイプを示します。
前提条件
セキュリティレベルに基づいてRDSインスタンスが作成されます。 詳細については、「ApsaraDB RDS for PostgreSQL インスタンスの作成」をご参照ください。
特権アカウントが作成されます。 詳細については、「アカウントの作成」をご参照ください。
手順
常時機密データベース機能を有効にするデータベースを作成します。 詳細については、「データベースの作成」をご参照ください。
特権アカウントを使用してデータベースを接続した後、次のSQLステートメントを実行して、常に機密のデータベース機能を提供する拡張機能をインストールし、その機能を有効にします。
説明RDSインスタンスへの接続方法の詳細については、「ApsaraDB RDS For PostgreSQLインスタンスへの接続」をご参照ください。
-- Install the EncDB extension. CREATE EXTENSION encdb;
次に何をすべきか
常時機密データベース機能を使用する前に、ビジネス要件に基づいて機密データを定義する必要があります。 詳細については、「機密データの定義」をご参照ください。