RDS PostgreSQL提供数据加密功能,包括SSL链路加密和云盘加密,结合使用能够有效保障您的数据安全。
前提条件
- SSL链路加密需要实例为云盘。
- 云盘加密需要实例为云盘。
- 云盘加密只能在创建实例时开启,您必须参照设置云盘加密进行设置,才能在创建实例时设置云盘加密。
- 云盘加密当前仅在如下地域支持:
- 华东1(杭州)
- 华东2(上海)
- 华北1(青岛)
- 华北2(北京)
- 华南1(深圳)
- 中国(香港)
- 新加坡
- 马来西亚(吉隆坡)
- 印度尼西亚(雅加达)
- 德国(法兰克福)
注意事项
- 开启SSL链路加密后,通过内网或外网传输到实例的数据都将被加密,不会因为在网络传输时被截获而导致数据泄露。
- 开启SSL链路加密后,已有连接需要断开重连,加密才会生效。
设置SSL链路加密
国际互联网工程任务组(IETF)对SSL 3.0进行了标准化,标准化后更名为安全传输层协议(TLS)。由于SSL这一术语更为常用,因此本文所述SSL加密实际是指TLS加密。
说明 RDS支持的TLS版本为1.0、1.1和1.2。
- 进入参数设置页面。
- 登录RDS管理控制台,在左侧单击实例列表,然后在上方选择地域。
- 单击目标实例ID,在左侧导航栏单击参数设置。
- 搜索参数ssl,修改值为on并单击确定。

说明
- 开启SSL后,客户端登录时请设置SSL模式为Prefer。
- 需要关闭时将参数ssl修改为off即可。

设置云盘加密
云盘加密能够最大限度保护您的数据安全,您的业务和应用程序无需做额外的改动。同时该云盘生成的快照及这些快照创建的云盘将自动延续加密属性。
云盘加密为免费功能,您在磁盘上的任何读写操作将不会产生额外费用。
- 登录密钥管理服务控制台。
- 左上角选择将要创建实例的地域。
- 单击创建密钥。
- 设置如下参数。
配置项 |
说明 |
密钥类型 |
请选择以下密钥类型。
- 对称密钥的类型:
- Aliyun_AES_256
- Aliyun_SM4
- 非对称密钥的类型:
- RSA_2048
- EC_P256
- EC_P256K
- EC_SM2
说明 Aliyun_SM4或EC_SM2的密钥类型,仅在中国内地使用托管密码机的地域支持。
|
密钥用途 |
- Encrypt/Decrypt:数据加密和解密。
- Sign/Verify:产生和验证数字签名。
|
别名 |
用户主密钥的可选标识,详情请参见别名概述。
|
保护级别 |
- Software:通过软件模块对密钥进行保护。
- Hsm:将密钥托管在密码机中,使密钥获得高安全等级的专用硬件的保护。
|
描述 |
密钥的说明信息。 |
轮转周期 |
自动轮转的时间周期。取值:
- 30天。
- 90天。
- 180天。
- 365天。
- 不开启:不开启轮转。
- 自定义:7~730天。
说明 仅密钥类型为Aliyun_AES_256和Aliyun_SM4的对称密钥支持设置轮转周期。
|

- 单击确定。
- (仅第一次使用需要授权)单击云资源访问授权,单击同意授权让PostgreSQL可以访问您的云资源。

说明 仅第一次使用需要授权,您可以在
访问控制RAM控制台查看是否具有
AliyunRDSInstanceEncryptionDefaultRole权限。
- 接下来您可以在创建实例时选择云盘加密,详情请参见创建RDS PostgreSQL实例。

说明 创建实例后您可以在实例基本信息页面查看到云盘加密的密钥。

在文档使用中是否遇到以下问题
更多建议
匿名提交