全部产品
Search
文档中心

云数据库 RDS:云盘加密

更新时间:Mar 04, 2024

RDS SQL Server提供免费的云盘加密功能,您可以在创建实例时开启,该功能将对整个数据盘上的数据进行基于块存储的加密,实例生成的快照以及通过这些快照创建的云盘版实例将自动延续加密属性,即使快照备份泄露也无法解密,能够有效保障您的数据安全。开启云盘加密功能不会影响您的业务,且您也无需对应用程序做任何修改。

前提条件

  • 云盘加密功能只能在创建实例时开启,实例创建后无法开启。

  • 创建实例时,存储类型和实例规格需要按照以下要求配置:

    • 存储类型:SSD云盘、ESSD云盘、通用云盘

    • 实例规格:通用型、独享型(不支持共享型)

      说明

      Serverless实例不支持云盘加密功能。

费用说明

云盘加密为免费功能,您在磁盘上的任何读写操作都不会产生额外费用。

注意事项

  • 开启云盘加密的实例不支持跨地域备份

  • 密钥管理服务KMS欠费会导致云盘无法解密,整个实例不可用,请确保KMS状态正常。

  • 当您禁用或删除了KMS密钥,将导致使用了该KMS密钥的RDS实例无法正常工作,实例被锁定无法访问。同时,所有的运维操作将无法进行,包括但不限于备份实例、变更实例配置、克隆实例、重启实例、HA切换以及修改参数等。为了避免此类情况的发生,建议您使用RDS托管的服务密钥(Default Service CMK)。

  • 实例规格为通用型时,仅支持使用RDS托管的服务密钥(Default Service CMK)创建云盘加密实例;实例规格为独享型时,支持使用RDS托管的服务密钥(Default Service CMK)、用户自定义密钥创建云盘加密实例。详情请参见【产品/功能变更】2024年01月15日起RDS创建云盘加密实例功能变更

创建实例时开启云盘加密

创建RDS SQL Server实例时存储类型选择SSD云盘ESSD云盘通用云盘,并勾选右侧云盘加密,然后选择相应的密钥。

说明

密钥的创建方法,请参见创建并启动密钥

image

查看云盘加密状态及密钥详情

  1. 访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
  2. 在实例的基本信息页面,查看云盘实例的密钥。

    说明
    • 基本信息页面未显示密钥,则说明该实例在创建时未开启云盘加密功能。

    • 云盘加密功能只能在创建实例时开启,实例创建后无法开启。

    • 在密钥管理服务控制台可以查看当前账号下的所有密钥。在密钥管理 > 默认密钥页签中,密钥用法服务密钥时即为阿里云产品托管密钥。RDS托管密钥别名为alias/acs/rds,如果您未找到该密钥,表示在该地域下还未创建服务密钥。在RDS控制台开启云盘加密时,选择服务密钥(Default Service CMK),系统会自动创建。

    • RDS托管的服务密钥(Default Service CMK)算法为Aliyun_AES_256,默认未开启密钥轮转服务。如果您需要开启密钥轮转服务,请登录密钥管理服务控制台进行购买,详情请参见密钥轮转

相关操作