RDS PostgreSQL提供云盘加密功能,能够有效保障您的数据安全。
背景信息
云盘加密能够保障存储的数据安全,您的业务和应用程序无需做额外的改动。同时该云盘生成的快照及这些快照创建的云盘将自动延续加密属性。
云盘加密为免费功能,您在磁盘上的任何读写操作将不会产生额外费用。
前提条件
- 云盘加密只能在创建实例时开启,您必须参照设置云盘加密进行设置,才能在创建实例时设置云盘加密。
- 创建实例时,产品系列、存储类型和规格分类需要按照以下要求配置:
- 产品系列:高可用版
- 存储类型:SSD云盘或ESSD云盘
- 规格分类:独享规格
注意事项
- 云盘加密功能开启后无法关闭。
- 开启云盘加密的实例不支持跨地域备份。
- 云盘加密不会影响您的业务,应用程序也无需修改。
- 开启云盘加密后,实例生成的快照以及通过这些快照创建的云盘版实例将自动延续加密属性。
- 密钥管理服务KMS欠费会导致云盘无法解密,整个实例不可用,请确保KMS状态正常。
- 如果您禁用或删除了KMS密钥,将会导致使用了该KMS密钥的RDS实例无法正常工作,受影响的操作包括创建快照、恢复快照和备库重建等。
设置云盘加密
- 登录密钥管理服务控制台。
- 左上角选择将要创建实例的地域。
- 单击创建密钥。
- 设置如下参数。
| 配置项 |
说明 |
| KMS实例 |
选择要创建密钥的KMS实例。 |
| 密钥类型 |
选择要创建的密钥类型。取值:
- 对称密钥的类型
- Aliyun_AES_256
- Aliyun_SM4
- 非对称密钥的类型
- RSA_2048
- RSA_3072
- EC_P256
- EC_P256K
- EC_SM2
说明
- Aliyun_SM4或EC_SM2的密钥类型,仅在中国内地使用托管密码机的地域支持。
- RSA_3072的密钥类型,仅支持在专属KMS实例中创建。
|
| 密钥用途 |
选择密钥的用途。取值:
- Encrypt/Decrypt:数据加密和解密。
- Sign/Verify:产生和验证数字签名。
|
| 别名 |
用户主密钥的可选标识。
更多信息,请参见别名概述。
|
| 保护级别 |
取值:
- Software:通过软件模块对密钥进行保护。
- Hsm:将密钥托管在密码机中,使密钥获得高安全等级的专用硬件的保护。
|
| 描述 |
密钥的说明信息。 |
| 轮转周期 |
设置对称密钥自动轮转的时间周期。取值:
- 30天。
- 90天。
- 180天。
- 365天。
- 不开启:不开启轮转。
- 自定义:7~730天。
说明 仅密钥类型为Aliyun_AES_256和Aliyun_SM4的对称密钥支持设置轮转周期。
|
- 单击确定。
- (仅第一次使用需要授权)单击云资源访问授权,单击同意授权让PostgreSQL可以访问您的云资源。
说明 仅第一次使用需要授权,您可以在
访问控制RAM控制台查看是否具有
AliyunRDSInstanceEncryptionDefaultRole权限。
- 接下来您可以在创建实例时选择云盘加密,详情请参见创建RDS PostgreSQL实例。
说明 创建实例后您可以在实例基本信息页面查看到云盘加密的密钥。