TDE (透過的データ暗号化) は、一度有効にすると無効にできません。続行する前に、「制限事項」をご参照ください。
TDE (透過的データ暗号化) は、Redis Database (RDB) ファイルがディスクに書き込まれる前に暗号化し、メモリに読み戻されるときに復号します。TDE (透過的データ暗号化) を有効にすると、ストレージ使用量を増やすことなく、また、ご利用のクライアントアプリケーションに変更を加える必要もありません。
サポートされているインスタンス
TDE (透過的データ暗号化) は、次のインスタンスタイプでのみサポートされています。
インスタンスタイプ: Tair (Enterprise Edition) メモリ最適化
ストレージモード: クラシック (ローカルディスク) モード
マイナーバージョン: 1.7.1 以降
マイナーバージョンを確認または更新するには、「インスタンスのマイナーバージョンの更新」をご参照ください。
仕組み
TDE (透過的データ暗号化) は、RDB データファイルをディスクに書き込む際に暗号化し、メモリに読み戻す際に復号します。暗号鍵は、Key Management Service (KMS) によって生成および管理されます。Tair は、暗号化に必要なキーや証明書を提供しません。
TDE (透過的データ暗号化) が暗号化するもの:
ディスクに書き込まれた RDB バックアップファイル (例:
dump.rdb)
TDE (透過的データ暗号化) が暗号化しないもの:
メモリ内のデータ — クライアントがデータをクエリすると、読み取りはディスクではなくメモリから行われるため、応答はプレーンテキストになります
TDE (透過的データ暗号化) はインスタンスレベルで適用されます。インスタンス内の個別のキーやデータベースに対して有効にすることはできません。
制限事項
TDE (透過的データ暗号化) を有効にすると、インスタンスの動作方法が永続的に変更されます。TDE (透過的データ暗号化) が有効になった後:
ゾーン間移行はブロックされます。 インスタンスをゾーン間で移行することはできません。詳細については、「インスタンスのゾーン間移行」をご参照ください。
オフラインキー分析は利用できません。 オフラインキー分析機能は、TDE (透過的データ暗号化) が有効なインスタンスではサポートされていません。詳細については、「オフラインキー分析」をご参照ください。
分散インスタンスに参加できません。 インスタンスを分散インスタンスのサブインスタンスに変換することはできません。詳細については、「分散インスタンスの作成」をご参照ください。
DTS 移行と同期はブロックされます。 インスタンスは、Data Transmission Service (DTS) を使用して移行または同期することはできません。
ゴミ箱からの復元は利用できません。 TDE (透過的データ暗号化) が有効なインスタンスは、ゴミ箱から復元することはできません。
キータイプの選択
TDE (透過的データ暗号化) を有効にする前に、使用するキータイプを決定します。
| キータイプ | 説明 | 使用するタイミング |
|---|---|---|
| [自動生成されたキー] | KMS がお客様に代わってキーを生成および管理します | ほとんどのユースケースに適しています — 追加のキー管理オーバーヘッドは発生しません |
| カスタムキー | KMS で作成したキーを提供します | セキュリティポリシーで独自の暗号鍵の管理とローテーションが必要な場合に使用します |
カスタムキーを作成するには、KMS ドキュメントの「キーの作成」をご参照ください。
TDE (透過的データ暗号化) の有効化
コンソールにログインし、[インスタンス] ページに移動します。上部のナビゲーションバーで、インスタンスがデプロイされているリージョンを選択します。インスタンスを見つけて、その ID をクリックします。
左側のナビゲーションウィンドウで、[TDE 設定項目] をクリックします。
[TDE ステータス] の横にあるスイッチをオンにします。
スイッチが選択不可の場合、インスタンスは以前のマイナーバージョンを実行しています。まずマイナーバージョンを更新してください。詳細については、「マイナーバージョンとプロキシバージョンの更新」をご参照ください。
ダイアログボックスで、[自動生成されたキーを使用] または [カスタムキーを使用] を選択し、次に [OK] をクリックします。
この Alibaba Cloud アカウントでインスタンスに対して初めて TDE を有効化する場合、ページ上の手順に従って、[AliyunRdsInstanceEncryptionDefaultRole] ロールを割り当てます。権限付与が完了すると、KMS キーサービスが利用可能になります。
インスタンスステータスが [TDE の変更中] に変わります。ステータスが [稼働中] に変わると、TDE が有効になります。
よくある質問
ダウンロードした RDB バックアップファイルを復号できますか?
いいえ。ダウンロードした RDB バックアップファイルを直接復号することはできません。データにアクセスするには、バックアップセットを新しいインスタンスに復元してください。復元後、データは自動的に復号されます。
クライアントによってクエリされたデータがプレーンテキストで表示されるのはなぜですか?
TDE (透過的データ暗号化) は、ディスク上のデータファイル (RDB バックアップファイル) のみを暗号化します。データをクエリすると、システムは暗号化されていないメモリから読み取るため、応答はプレーンテキストになります。
API リファレンス
| API オペレーション | 説明 |
|---|---|
| ModifyInstanceTDE | 自動生成されたキーまたはカスタムキーを使用してインスタンスの TDE (透過的データ暗号化) を有効にする |
| DescribeInstanceTDEStatus | インスタンスで TDE (透過的データ暗号化) が有効になっているか確認する |
| DescribeEncryptionKeyList | インスタンスで TDE (透過的データ暗号化) に利用可能なカスタムキーを一覧表示する |
| DescribeEncryptionKey | インスタンスで TDE (透過的データ暗号化) に利用可能なカスタムキーの詳細を取得する |
| CheckCloudResourceAuthorized | インスタンスが KMS を使用する権限を付与されているか確認する |