云数据库 RDS：云盘加密

前提条件

• 云盘加密功能仅支持在创建实例时开启，实例创建后无法开启。

• 创建实例时，存储类型和实例规格需要按照以下要求配置：

  • 存储类型：SSD云盘、ESSD云盘（不支持Serverless实例）

  • 实例规格：通用型、独享型、共享型

    • 通用型、独享型：支持RDS托管的服务密钥（Default Service CMK）、用户自定义密钥

    • 共享型：仅支持RDS托管的服务密钥（Default Service CMK）

费用说明

云盘加密为免费功能，您在磁盘上的任何读写操作都不会产生额外费用。

注意事项

• 密钥管理服务KMS欠费会导致云盘无法解密，整个实例不可用，请确保KMS状态正常。

• 当您禁用或删除了KMS密钥，将导致使用了该KMS密钥的RDS实例无法正常工作，实例被锁定无法访问。同时，所有的运维操作将无法进行，包括但不限于备份实例、变更实例配置、克隆实例、重启实例、HA切换以及修改参数等。为了避免此类情况的发生，建议您使用RDS托管的服务密钥（Default Service CMK）。

• RDS托管的服务密钥（Default Service CMK）规格为Aliyun_AES_256，默认未开启密钥轮转服务。如果您需要开启密钥轮转服务，请登录密钥管理服务控制台进行购买。

使用限制

开启了云盘加密的实例不支持升级内核小版本操作。

创建实例时开启云盘加密

1. 创建RDS SQL Server实例时存储类型选择SSD云盘、ESSD云盘。

2. 勾选右侧云盘加密，并选择目标密钥。

   说明

   • 自定义密钥的创建方法，请参见创建并启动密钥。

   • 创建实例时请先勾选云盘加密选项，再选择实例规格。

     若要创建共享规格的RDS实例，且需要开启云盘加密功能，由于共享规格仅支持RDS托管的服务密钥（Default Service CMK），请务必选择Default Service CMK，请勿选择alias/acs/rds开头的其他密钥。

查看云盘加密状态及密钥详情

1. 访问RDS实例列表，在上方选择地域，然后单击目标实例ID。

2. 在实例的基本信息页面，查看云盘实例的密钥。

   说明

   • 若基本信息页面未显示密钥，则说明该实例在创建时未开启云盘加密功能。

   • 云盘加密功能只能在创建实例时开启，实例创建后无法开启。

   • 在密钥管理服务控制台可以查看当前账号下的所有密钥。

     在密钥管理 > 默认密钥页签中，密钥用法为服务密钥时即为阿里云产品托管密钥。

相关操作

• 通过API创建符合前提的云盘实例时，开启云盘加密功能，请参见CreateDBInstance - 创建RDS实例。

• 通过API查看实例是否开启了云盘加密，以及密钥详情，请参见DescribeDBInstanceEncryptionKey - 查询云盘加密状态及密钥详情。