ディスク暗化は、ブロックストレージレベルの暗号化を使用して、ApsaraDB RDS for SQL Server のデータディスク上のすべてのデータを保護します。この機能は無料で、アプリケーションの変更は不要です。インスタンスの作成時または既存のインスタンスで有効にできます。
サポートされる構成
すべてのインスタンスタイプが同じ方法でディスク暗号化をサポートしているわけではありません。以下の表は、各タイプがサポートする内容を示しています。
| インスタンスタイプ | 新しいインスタンスで有効化 | 既存のインスタンスで有効化 | サポートされるキータイプ |
|---|---|---|---|
| 専用 | はい | はい | サービスキーまたはカスタムキー |
| 汎用 | はい | はい | サービスキーまたはカスタムキー |
| 共有 | はい | いいえ | サービスキー ([Default Service CMK]) のみ |
| 読み取り専用 | いいえ (プライマリから継承) | いいえ | — |
| サーバーレス | いいえ | いいえ | — |
追加の制約事項:
ストレージタイプは ESSD である必要があります。
プライマリインスタンスに読み取り専用インスタンスがアタッチされている場合は、ディスク暗号化を有効化する前に、リリースする必要があります。暗号化が有効化された後、新しい読み取り専用インスタンスは自動的にこれを継承します。
ディスク暗号化は一度有効にすると無効にできません。
ディスク暗号化を有効にした後、マイナーエンジンバージョンを更新することはできません。
課金
ディスク暗号化は、暗号化されたディスクでのすべての読み取りおよび書き込み操作を含め、無料です。
キーは Key Management Service (KMS) によって管理されます:
| キータイプ | コスト |
|---|---|
| Default Service CMK およびマスターキー | 無料 |
| ソフトウェアで保護されたキーおよびハードウェアで保護されたキー | KMS による課金 |
キー管理
瞬断
既存のインスタンスでディスク暗号化を有効にするか、暗号鍵を変更すると、短いサービス停止が発生します:
| エディション | ダウンタイム |
|---|---|
| High-availability Edition / Cluster Edition | 約 30 秒 |
| Basic Edition | 約 5 分 |
これらの操作はオフピーク時間に計画し、アプリケーションに自動再接続メカニズムがあることを確認してください。
キーの可用性
インスタンスの可用性を確保するには、その暗号鍵に継続的にアクセスできる必要があります。次の 2 つの状況により、インスタンスがアクセス不能になる可能性があります:
KMS の支払い遅延:有料のキータイプ (ソフトウェアで保護されたキーまたはハードウェアで保護されたキー) を使用している場合、支払いが遅延するとディスクが復号できなくなり、インスタンス全体が利用不可になります。KMS アカウントの支払いが滞らないようにしてください。
無効化または削除されたキー:マスターキー、ソフトウェアで保護されたキー、またはハードウェアで保護されたキーを無効化または削除すると、RDS インスタンスは直ちにロックされます。キーが復元されるまで、バックアップ、構成変更、再起動、高可用性 (HA) スイッチオーバーなど、すべての運用保守 (O&M) アクティビティは失敗します。
デフォルトサービスキー (Default Service CMK)
RDS が管理するサービスキーは、Aliyun_AES_256 仕様を使用します。キーのローテーションはデフォルトで無効になっています。キーのローテーションを有効にするには、KMS コンソールからキーのローテーションサービスを購入してください。
新しいインスタンスでのディスク暗号化の有効化
ApsaraDB RDS for SQL Server インスタンスを作成する際に、ストレージタイプを ESSD に設定します。
クラウドディスク暗号化 を選択し、対象のキーを選択します。
インスタンスタイプを選択する前に クラウドディスク暗号化 を選択してください。共有インスタンスの場合、キーを Default Service CMK に設定します。共有インスタンスはサービスキーのみをサポートします。カスタムキーを作成するには、「キーの作成と有効化」をご参照ください。
既存インスタンスでのディスク暗号化の有効化
この操作により瞬断が発生します。インスタンスは、約 30 秒 (High-availability Edition または Cluster Edition) または約 5 分 (Basic Edition) 利用できなくなります。この操作はオフピーク時間に計画し、アプリケーションが自動的に再接続することを確認してください。
インスタンス ページに移動します。上部のナビゲーションバーで、インスタンスのリージョンを選択し、インスタンス ID をクリックします。
左側のナビゲーションウィンドウで、データセキュリティ をクリックします。
データ暗号化 タブで、暗号化を有効にする をクリックします。
ダイアログボックスで、目的のキーを選択し、OK をクリックします。インスタンスのステータスが 設定変更中 に変わります。
インスタンスのステータスが 実行中 に戻り、データ暗号化 タブに暗号化の詳細が表示されると、暗号化はアクティブになります。
ディスク暗号化のステータスとキー詳細の表示
インスタンス ページに移動します。リージョンを選択し、インスタンス ID をクリックします。
基本情報 ページで、ディスク暗号鍵を確認します。
キーが表示されない場合、ディスク暗号化は有効になっていません。アカウント配下のすべてのキーを表示するには、KMS コンソールを開きます。キー > デフォルトキー タブで、キー使用量 の値が サービスキー である場合、そのキーは Alibaba Cloud によって管理されていることを意味します。
暗号鍵の変更
専用インスタンスと汎用インスタンスはキーの変更をサポートしています。共有インスタンスはサービスキーのみをサポートするため、キーを変更することはできません。
キーを変更すると瞬断が発生します (High-availability Edition または Cluster Edition で約 30 秒、Basic Edition で約 5 分)。この操作はオフピーク時間に計画してください。
インスタンス ページに移動します。リージョンを選択し、インスタンス ID をクリックします。
左側のナビゲーションウィンドウで、データセキュリティ をクリックします。
データ暗号化 タブで、キーの置換 をクリックします。
データディスクの暗号鍵の変更 ダイアログボックスで、新しいキーを選択し、OK をクリックします。
API リファレンス
| 操作 | API |
|---|---|
| インスタンス作成時にディスク暗号化を有効化する | CreateDBInstance |
| 既存のインスタンスに対してディスク暗号化を有効化する | ModifyDBInstanceConfig |
| ディスク暗号化のステータスを照会する | DescribeDBInstanceEncryptionKey |