ApsaraDB RDS for SQL Server では、クラウドディスク暗号化機能を無料で提供しています。この機能は、インスタンス作成時に有効にすることができます。この機能により、データディスク上のすべてのデータがブロックレベルで暗号化されます。 この機能により、お客様のデータを効果的に保護します。クラウドディスク暗号化機能を有効にしても、ビジネスへの影響はなく、アプリケーションの変更も必要ありません。
適用範囲
-
ApsaraDB RDS for SQL Server の読み取り専用インスタンスまたはサーバーレスインスタンスでは、クラウドディスク暗号化を手動で有効にすることはできません。
-
ApsaraDB RDS for SQL Server のプライマリインスタンスでクラウドディスク暗号化を有効にするには、インスタンスが以下の要件を満たす必要があります。
-
ストレージタイプが ESSDクラウドディスク であること。
-
インスタンスタイプが 専用タイプ、一般型、または 共有型 であること。共有インスタンスタイプの場合、クラウドディスク暗号化は作成時にのみ有効にすることができます。
-
プライマリインスタンスに読み取り専用インスタンスがアタッチされていないこと。1 つ以上の読み取り専用インスタンスがアタッチされている場合は、まず 読み取り専用インスタンスをリリース してから、クラウドディスク暗号化を有効にする必要があります。プライマリインスタンスで有効にすると、クラウドディスク暗号化はすべての新しい読み取り専用インスタンスに自動的に適用されます。
-
-
クラウドディスク暗号化を有効にした後は、以下の制限が適用されます。
-
クラウドディスク暗号化を一度有効にすると、無効にすることはできません。
-
キー選択の制限: 共有インスタンスは、RDS 管理のサービスキー (Default Service CMK) でのみ暗号化できます。汎用または専用型インスタンスは、サービスキーまたはカスタムキーで暗号化できます。
-
マイナーエンジンバージョンのアップグレード制限: クラウドディスク暗号化を有効にした後は、マイナーエンジンバージョンをアップグレード することはできません。
-
課金
-
クラウドディスク暗号化機能は無料です。暗号化されたディスクへの読み取りまたは書き込み操作に対して、追加料金は発生しません。
-
クラウドディスク暗号化に必要なキーは、Key Management Service (KMS) によって管理されます。サービスキーやマスターキーを含むデフォルトキーの使用は無料です。カスタムソフトウェアキーまたはハードウェアキーを使用する場合は、KMS による課金 が発生します。
注意事項
-
瞬断: キーの変更または既存インスタンスでのクラウドディスク暗号化の有効化により、瞬断が発生します。高可用性シリーズおよびクラスターシリーズでは約 30 秒間、ベーシックシリーズでは約 5 分間、インスタンスが使用できなくなります。これらの操作は、オフピーク時に実行し、アプリケーションに自動再接続機能があることを確認してください。
-
KMS の支払い遅延、またはキーの無効化や削除は、クラウドディスク暗号化が有効になっているインスタンスに影響します。
-
KMS の支払い遅延の影響: ソフトウェアキーやハードウェアキーなどの有料キータイプを使用している場合、KMS サービスの支払いが遅延すると、暗号化されたディスクの復号化ができなくなり、インスタンス全体が使用不能になります。KMS サービスを期限内に更新してください。
-
キーの無効化または削除の影響: マスターキー、ソフトウェアキー、ハードウェアキーなど、ライフサイクルを管理できるキーの場合、キーを無効化または削除すると、関連する RDS インスタンスがロックされ、アクセスできなくなります。インスタンスは正常に動作せず、バックアップ、設定変更、再起動、高可用性 (HA) 切り替えなどのすべての運用操作が失敗します。
-
-
RDS 管理のサービスキー (Default Service CMK) は、
Aliyun_AES_256仕様を使用します。キーのローテーションサービスは、デフォルトで無効になっています。キーのローテーションサービス を有効にするには、Key Management Service コンソールで購入してください。
クラウドディスク暗号化の有効化
新しいインスタンスの場合
-
ApsaraDB RDS for SQL Server インスタンスを作成 する際に、ストレージタイプを [ESSD] に設定します。
-
ディスクを暗号化 を選択し、キーを選択します。
説明-
カスタムキーの作成方法については、「キーの作成と有効化」をご参照ください。
-
インスタンスを作成する際は、インスタンスタイプを選択する前に ディスクを暗号化 オプションを選択してください。
クラウドディスク暗号化を有効にした共有インスタンスを作成するには、キーとして[デフォルトのサービス CMK]を選択する必要があります。共有インスタンスは、サービスキーでのみ暗号化できます。
-
既存インスタンスの場合
既存インスタンスでクラウドディスク暗号化を有効にすると、瞬断が発生します。高可用性シリーズおよびクラスターシリーズでは約 30 秒間、ベーシックシリーズでは約 5 分間、インスタンスが使用できなくなります。この操作は、オフピーク時に実行し、アプリケーションに自動再接続機能があることを確認してください。
-
RDS インスタンス ページに移動します。上部メニューでリージョンを選択し、対象のインスタンスの ID をクリックします。
-
左側メニューで、セキュリティコントロール をクリックします。
-
データ暗号化 タブで、ディスク暗号化の有効化 をクリックします。
-
表示されたダイアログボックスで、キーを選択し、OK をクリックします。インスタンスのステータスがすぐに インスタンスの設定は変更中です に変わります。
-
インスタンスのステータスが 実行中 に戻り、データ暗号化 タブに暗号化情報が表示されると、これで完了です。

暗号化ステータスとキーの詳細の確認
- RDSインスタンスにアクセスし、上部のリージョンを選択し、対象のRDSインスタンスのIDをクリックします。
-
インスタンスの 基本情報 ページで、ディスク暗号化キーを確認します。
説明-
基本情報 ページにキーが表示されていない場合、インスタンス作成時にクラウドディスク暗号化は有効になっていません。
-
KMS コンソール では、現在のアカウント内のすべてのキーを確認できます。
権限管理 > [デフォルトキー] タブで、[キーの用途] が サービスキー の場合、そのキーは Alibaba Cloud サービスによって管理されます。
-
キーの置き換え
クラウドディスク暗号化が有効になっているインスタンスの場合、インスタンスタイプが専用型または汎用 であれば、キーを置き換えることができます。共有インスタンスは、サービスキーのみを使用できるため、キーを置き換えることはできません。
キーの置き換えにより、瞬断が発生します。高可用性シリーズおよびクラスターシリーズでは約 30 秒間、ベーシックシリーズでは約 5 分間、インスタンスが使用できなくなります。この操作は、オフピーク時に実行し、アプリケーションに自動再接続機能があることを確認してください。
-
RDS インスタンス ページに移動します。上部メニューでリージョンを選択し、対象のインスタンスの ID をクリックします。
-
左側メニューで、セキュリティコントロール をクリックします。
-
データ暗号化 タブで、キーを変更 をクリックします。
-
データディスクの暗号化キーの変更 ダイアログボックスで、新しいキーを選択し、OK をクリックします。
関連 API
-
インスタンス作成時にクラウドディスク暗号化を有効にする: CreateDBInstance。
-
既存インスタンスでクラウドディスク暗号化を有効にする: ModifyDBInstanceConfig。
-
インスタンスでクラウドディスク暗号化が有効になっているかどうかを照会する: DescribeDBInstanceEncryptionKey。