RDS MariaDB提供免費的云盤加密功能,該功能基于塊存儲對整個數據盤進行加密,即使數據備份泄露也無法解密,能夠保護您的數據安全。您無需對現有應用程序做任何修改,同時您的快照數據將自動繼承加密屬性。
前提條件
僅在快速創建RDS MariaDB實例時可以開啟云盤加密,創建實例后無法開啟。
創建實例的方式為標準創建。
已根據待創建實例的版本創建密鑰。不同版本的MariaDB支持不同的密鑰。密鑰的創建請參見創建密鑰。
MariaDB 10.3:僅支持用戶自定義密鑰創建云盤加密。
MariaDB 10.6:
通用型規格:只支持使用RDS托管的服務密鑰(Default Service CMK)創建云盤加密實例。
獨享型規格:支持RDS托管的服務密鑰(Default Service CMK)、用戶自定義密鑰創建云盤加密實例。
說明服務密鑰(Default Service CMK)為RDS托管密鑰,永久有效。在RDS控制臺開啟云盤加密時,選擇默認服務密鑰(Default Service CMK),系統會自動創建。
計費
云盤加密為免費功能,您在磁盤上的任何讀寫操作都不會產生額外費用。
注意事項
云盤加密功能開啟后無法關閉。
云盤加密不會影響您的業務,應用程序也無需修改。
開啟云盤加密后,實例生成的快照以及通過這些快照創建的云盤版實例將自動延續加密屬性。
密鑰管理服務KMS欠費會導致云盤無法解密,整個實例不可用,請確保KMS狀態正常。
當您禁用或刪除了KMS密鑰,將導致使用了該KMS密鑰的RDS實例無法正常工作,實例被鎖定無法訪問。同時,所有的運維操作將無法進行,包括但不限于備份實例、變更實例配置、克隆實例、重啟實例、HA切換以及修改參數等。RDS將通過短信、站內信和郵件等方式通知您實例KMS密鑰不可用,通知頻率為每日一次,最多不超過三次。
說明對于MariaDB 10.6實例,為了避免此類情況的發生,建議您使用RDS托管的服務密鑰(Default Service CMK)。
開啟云盤加密
快速創建RDS MariaDB實例時,選中存儲類型后,在右側選中云盤加密,然后選擇相應的密鑰。
密鑰的創建請參見創建密鑰。
創建實例后您可以在實例基本信息頁面查看到云盤加密的密鑰。
對于MariaDB 10.6實例,默認使用RDS托管的服務密鑰(Default Service CMK)創建云盤加密實例。RDS托管的服務密鑰(Default Service CMK)規格為
Aliyun_AES_256,默認未開啟密鑰輪轉服務。如果您需要開啟密鑰輪轉服務,請登錄密鑰管理服務控制臺進行購買,詳情請參見密鑰輪轉。在密鑰管理服務控制臺可以查看當前賬號下的所有密鑰。在密鑰管理>默認密鑰頁簽中,密鑰用法為服務密鑰時即為阿里云產品托管密鑰。RDS托管密鑰別名為
alias/acs/rds,如果您未找到該密鑰,表示在該地域下還未創建服務密鑰。在RDS控制臺開啟云盤加密時,選擇服務密鑰(Default Service CMK),系統會自動創建。
查看云盤加密的開啟狀態
訪問RDS實例列表,在上方選擇地域,然后單擊目標實例ID。
在實例的基本信息區域,查看是否有密鑰參數,如有即表示實例已開啟云盤加密。
相關API
API | 描述 |
創建RDS實例。 |