RDS PostgreSQL提供免费的云盘加密功能,能够确保RDS PostgreSQL云盘中的数据得到安全保护,您无需对现有应用程序做任何修改,同时您的快照数据将自动继承加密属性。
背景信息
云盘加密能够保障存储的数据安全,您的业务和应用程序无需做额外的改动。同时该云盘生成的快照及这些快照创建的云盘将自动延续加密属性。
云盘加密为免费功能,您在磁盘上的任何读写操作将不会产生额外费用。
前提条件
RDS PostgreSQL实例满足以下配置:
产品系列:基础系列、高可用系列、集群系列
存储类型:ESSD云盘、通用云盘
说明暂不支持Serverless实例。
已开通密钥管理服务KMS,具体请参见购买和启用KMS实例。
注意事项
云盘加密功能开启后无法关闭。
开启云盘加密的实例不支持跨地域备份。
云盘加密不会影响您的业务,应用程序也无需修改。
开启云盘加密后,实例生成的快照以及通过这些快照创建的云盘版实例将自动延续加密属性。
密钥管理服务KMS欠费会导致云盘无法解密,整个实例不可用,请确保KMS状态正常。
当您禁用或删除了KMS密钥,将导致使用了该KMS密钥的RDS实例无法正常工作,实例被锁定无法访问。同时,所有的运维操作将无法进行,包括但不限于备份实例、变更实例配置、克隆实例、重启实例、HA切换以及修改参数等。为了避免此类情况的发生,建议您使用RDS托管的服务密钥(Default Service CMK)。RDS将通过短信、站内信和邮件等方式通知您实例KMS密钥不可用,通知频率为每日一次,最多不超过三次。
如果您选择的实例规格为通用规格,只支持使用RDS托管的服务密钥(Default Service CMK)创建云盘加密实例。独享型规格实例支持RDS托管的服务密钥(Default Service CMK)、用户自定义密钥创建云盘加密实例。详情请参见【产品/功能变更】2024年01月15日起RDS创建云盘加密实例功能变更。
在数据安全性 > 数据加密页,开启、更换或关闭云盘加密将导致实例重启,并出现闪断现象。请确保您的应用程序具有自动重连机制。
开启云盘加密
创建实例时开启云盘加密
创建RDS PostgreSQL时,如果满足前提条件,则可以在存储类型后,勾选云盘加密,然后选择相应的密钥。默认选择RDS托管的服务密钥(Default Service CMK)(推荐使用)。
创建RDS PostgreSQL实例,请参见创建RDS PostgreSQL实例。
开启已有实例的云盘加密
访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏单击数据安全性。
在数据加密页签单击开通加密。
在弹出的窗口中根据需要选择密钥后,单击确定。
使用由阿里云自动生成的密钥,即使用RDS托管的服务密钥(Default Service CMK)(推荐使用)。
开启云盘加密的过程中,实例状态将会发生变化。当实例状态变为运行中时,表示已成功开启云盘加密。
在RDS PostgreSQL实例基本信息页和数据安全性 > 数据加密页,可以查看云盘加密的密钥。
在密钥管理服务控制台可以查看当前账号下的所有密钥。在密钥管理 > 默认密钥页签中,密钥用法为服务密钥时即为阿里云产品托管密钥。RDS托管密钥别名为
alias/acs/rds,如果您未找到该密钥,表示在该地域下还未创建服务密钥。在RDS PostgreSQL控制台开启云盘加密时,选择服务密钥(Default Service CMK),系统会自动创建。RDS托管的服务密钥(Default Service CMK)规格为
Aliyun_AES_256,默认未开启密钥轮转服务。如果您需要开启密钥轮转服务,请登录密钥管理服务控制台进行购买,详情请参见密钥轮转。
更换云盘加密密钥
访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏单击数据安全性。
在数据加密页签单击更换加密。
在弹出的窗口中根据需要选择密钥后,单击确定。
关闭云盘加密
访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏单击数据安全性。
在数据加密页签单击更换加密。
在弹出的窗口中选择关闭密钥后,单击确定。
相关API
通过ModifyDBInstanceConfig - 修改RDS实例的配置项接口,可以为目标实例开启、更换或关闭云盘加密功能。