RDS SQL Server雲端硬碟加密 - ApsaraDB RDS

RDS SQL Server提供免費的雲端硬碟加密功能，您可以在建立執行個體時開啟，該功能將對整個資料盤上的資料進行基於Block Storage的加密，能夠有效保障您的資料安全。開啟雲端硬碟加密功能不會影響您的業務，且您也無需對應用程式做任何修改。

適用範圍

RDS SQL Server唯讀執行個體與Serverless執行個體不支援手動開啟雲端硬碟加密。
RDS SQL Server主執行個體需滿足以下條件才能開啟雲端硬碟加密：
- 儲存類型為ESSD雲端硬碟。
- 執行個體規格為獨享型、通用型和共用型（共用型規格僅支援在建立執行個體時開啟雲端硬碟加密）。
- 主執行個體未掛載唯讀執行個體。如已掛載，需要先釋放唯讀執行個體後再開啟雲端硬碟加密，且此後基於該主執行個體建立的唯讀執行個體將預設啟用加密雲端硬碟。
開啟雲端硬碟加密後，有以下限制：
- 雲端硬碟加密開啟後無法關閉。
- 密鑰選擇限制：共用型執行個體僅支援使用RDS託管的服務密鑰（Default Service CMK）進行加密，通用型和獨享型執行個體支援使用服務密鑰或使用者自訂密鑰。
- 核心升級限制：開啟雲端硬碟加密後不支援升級核心小版本操作。

執行個體閃斷：更換密鑰或已有執行個體開啟雲端硬碟加密會出現執行個體閃斷（高可用與叢集系列約30秒不可用，基礎系列約5分鐘不可用），請在業務低峰期執行相關操作，並確保您的應用有自動重連機制。
KMS欠費、禁用或刪除密鑰會對部分已開啟雲端硬碟加密的執行個體造成影響：
- KMS欠費影響：如您使用了付費類型密鑰（如軟體密鑰和硬體密鑰等），當KMS欠費時，會導致使用付費類型祕密金鑰加密的雲端硬碟執行個體無法解密，整執行個體不可用，請及時續約KMS執行個體。
- 禁用或刪除密鑰影響：對於可自行管理生命週期的密鑰（如主要金鑰、軟體密鑰和硬體密鑰等），禁用或刪除密鑰會導致使用該密鑰的RDS執行個體被鎖定無法訪問，無法正常工作，所有營運操作無法進行（如備份、變更配置、重啟、HA切換等）。
RDS託管的服務密鑰（Default Service CMK）規格為Aliyun_AES_256，預設未開啟密鑰輪轉服務。如果您需要開啟密鑰輪轉服務，請登入Key Management Service控制台進行購買。

建立RDS SQL Server執行個體時儲存類型選擇ESSD雲端硬碟。
勾選右側雲端硬碟加密，並選擇目標密鑰。
說明
- 自訂密鑰的建立方法，請參見建立並啟動密鑰。
- 建立執行個體時請先勾選雲端硬碟加密選項，再選擇執行個體規格。
  如需建立共用規格執行個體且開啟雲端硬碟加密功能，密鑰請選擇Default Service CMK（共用型執行個體僅支援使用服務祕密金鑰加密）。

重要

已有執行個體開啟雲端硬碟加密會出現執行個體閃斷（高可用與叢集系列約30秒不可用，基礎系列約5分鐘不可用），請在業務低峰期執行相關操作，並確保您的應用有自動重連機制。

訪問RDS執行個體列表，在上方選擇地區，然後單擊目標執行個體ID。
在執行個體的基本資料頁面，查看雲端硬碟執行個體的密鑰。
說明
- 若基本資料頁面未顯示密鑰，則說明該執行個體在建立時未開啟雲端硬碟加密功能。
- 在Key Management Service控制台可以查看當前帳號下的所有密鑰。
  在密鑰管理 > 預設密鑰頁簽中，密鑰用法為服務密鑰時即為阿里雲產品託管密鑰。

已開啟雲端硬碟加密且執行個體規格為獨享型和通用型的RDS SQL Server執行個體，可按照如下操作更換密鑰。共用型執行個體只能使用服務密鑰，無法修改。

重要