Tair (Redis OSS-compatible) は、RDB データファイルを暗号化および復号する TDE (透過的データ暗号化) をサポートしています。コンソールで TDE を有効にすると、RDB データを自動的に暗号化および復号し、データセキュリティを強化してコンプライアンス要件を満たすことができます。
前提条件
-
インスタンスはメモリ最適化された Tair (Enterprise Edition) インスタンスである必要があります。
-
インスタンスのバージョンがサポート範囲内である必要があります。マイナーバージョンの更新方法については、「インスタンスのマイナーバージョンの更新」をご参照ください。
-
クラシックインスタンスの場合、マイナーバージョンは 1.7.1 以降である必要があります。
-
クラウドネイティブインスタンスの場合、メジャーバージョンは 6.0 以降、マイナーバージョンは 25.12.2.0 以降である必要があります。
-
背景情報
Tair (Redis OSS-compatible) の TDE 機能は、RDB データファイルをディスクに書き込む前に暗号化し、メモリに読み込むときに復号します。この機能は、追加のストレージ容量を必要とせず、クライアントアプリケーションの変更も不要です。
影響
TDE は一度有効にすると無効にできません。この機能を有効にする前に、サービスへの以下の影響を評価してください:
クラウドネイティブインスタンス
-
インスタンスをグローバルマルチアクティブインスタンスに変換できます。
-
DTS を使用して、完全データ同期と増分データ同期を実行できます。
-
アベイラビリティゾーンの移行が可能です。
-
オフラインでの完全キー分析はサポートされていません。
-
TDE が有効なインスタンスをごみ箱から復元することはできません。
クラシックインスタンス
-
アベイラビリティゾーンの移行はサポートされていません。
-
オフラインでの完全キー分析はサポートされていません。
-
グローバルマルチアクティブインスタンスへの変換はサポートされていません。
-
DTS を使用したデータ移行または同期はサポートされていません。
注意事項
-
TDE をキーまたはデータベース (DB) レベルで制御することはできません。
-
TDE は、dump.rdb などのデータ永続化ファイル (RDB バックアップファイル) を暗号化します。
-
Key Management Service (KMS) は、TDE に使用されるキーを生成および管理します。Tair (Redis OSS-compatible) は、暗号化に必要なキーや証明書を提供しません。
-
TDE が有効なインスタンスをごみ箱から復元することはできません。
操作手順
コンソールにログインし、インスタンスページに移動します。上部のナビゲーションバーで、インスタンスがデプロイされているリージョンを選択します。次に、対象のインスタンスを見つけて、その ID をクリックします。
-
左側のナビゲーションウィンドウで、TDE 設定 をクリックします。
-
[TDE ステータス] の横にあるスイッチをオンにします。
説明インスタンスのマイナーバージョンが必要なバージョンより古い場合、スイッチは無効になります。マイナーバージョンの表示と更新の方法については、「インスタンスのマイナーバージョンとプロキシバージョンの更新」をご参照ください。
-
表示されたダイアログボックスで、[自動生成キーの使用] または [カスタムキーの使用] を選択し、[OK] をクリックします。
説明初めて TDE を有効にする場合、AliyunRdsInstanceEncryptionDefaultRole ロールを承認する必要があります。
カスタムキーの作成方法については、「Key Management Service (KMS)」をご参照ください。
設定後、インスタンスのステータスは [TDE 変更中] に変わります。ステータスが 使用中 に変わると、操作は完了です。
API リファレンス
|
API |
説明 |
|
インスタンスの TDE を有効にします。自動生成されたキーまたはカスタムキーを使用できます。 |
|
|
インスタンスで TDE が有効になっているかどうかを確認します。 |
|
|
TDE で使用可能なカスタムキーを一覧表示します。 |
|
|
TDE に使用されるカスタムキーの詳細を取得します。 |
|
|
インスタンスが Key Management Service (KMS) の使用を承認されているかどうかを確認します。 |
よくある質問
-
Q:ダウンロードした暗号化済みの RDB データファイルを復号するにはどうすればよいですか?
A:直接復号することはできません。代わりに、バックアップセットを新しいインスタンスに復元します。復元後、データは自動的に復号されます。
-
Q:クライアントで取得したデータがプレーンテキストで表示されるのはなぜですか?
A:TDE は、データが RDB バックアップファイルとしてディスクに書き込まれるときにのみデータを暗号化します。クライアントのクエリはメモリからデータを読み取りますが、メモリ内のデータは暗号化されていません。そのため、データはプレーンテキストで表示されます。