RDS PostgreSQL提供数据加密功能,包括SSL链路加密和云盘加密,结合使用能够有效保障您的数据安全。

前提条件

  • SSL链路加密需要实例为云盘。
  • 云盘加密需要实例为云盘。
  • 云盘加密只能在创建实例时开启,您必须参照设置云盘加密进行设置,才能在创建实例时设置云盘加密。
  • 云盘加密当前仅在如下地域支持:
    • 华东1(杭州)
    • 华东2(上海)
    • 华北1(青岛)
    • 华北2(北京)
    • 华南1(深圳)
    • 中国(香港)
    • 新加坡
    • 马来西亚(吉隆坡)
    • 印度尼西亚(雅加达)
    • 德国(法兰克福)

注意事项

  • 开启SSL链路加密后,通过内网或外网传输到实例的数据都将被加密,不会因为在网络传输时被截获而导致数据泄露。
  • 开启SSL链路加密后,已有连接需要断开重连,加密才会生效。

设置SSL链路加密

国际互联网工程任务组(IETF)对SSL 3.0进行了标准化,标准化后更名为安全传输层协议(TLS)。由于SSL这一术语更为常用,因此本文所述SSL加密实际是指TLS加密。

说明 RDS支持的TLS版本为1.0、1.1和1.2。
  1. 登录RDS管理控制台
  2. 在页面左上角,选择实例所在地域。
    选择地域
  3. 找到目标实例,单击实例ID。
  4. 在左侧导航栏选择参数设置
  5. 搜索参数ssl,修改值为on并单击确定
    修改ssl
    说明
    • 开启SSL后,客户端登录时请设置SSL模式为PreferSSLMODE
    • 需要关闭时将参数ssl修改为off即可。

设置云盘加密

云盘加密能够最大限度保护您的数据安全,您的业务和应用程序无需做额外的改动。同时该云盘生成的快照及这些快照创建的云盘将自动延续加密属性。

云盘加密为免费功能,您在磁盘上的任何读写操作将不会产生额外费用。

  1. 登录密钥管理服务控制台
  2. 左上角选择将要创建实例的地域。
  3. 单击创建密钥
  4. 设置如下参数。
    参数 说明
    密钥用途 用于加密/解密,无法修改。
    别名 设置密钥的别名,便于区分。
    保护级别 仅提供软件级别的保护。
    描述 备注密钥的相关信息。
    密钥材料来源 您可以选择让阿里云KMS服务提供密钥材料,也可以将256位的对称密钥作为密钥材料导入KMS。
  5. 单击确认
  6. 单击云资源访问授权,单击同意授权让PostgreSQL可以访问您的云资源。
    说明 仅第一次使用需要授权,您可以在访问控制RAM控制台角色管理页面查看是否具有AliyunPostgreSQLInstanceEncryptionRole权限。
  7. 接下来您可以在创建实例时选择云盘加密,详情请参见创建RDS PostgreSQL实例
    说明 创建实例后您可以在实例基本信息页面查看到云盘加密的密钥。