AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页

云盘加密

更新时间:
复制为 MD 格式
产品详情
我的收藏

如您希望提高数据存储的安全性,可以开启云盘加密功能(免费)对整个数据盘进行加密,即使存储数据或数据备份泄露也无法解密数据,保证您的数据安全。云盘加密开启时无需任何应用侧的代码修改,开启后对实例性能损耗极小且实例的快照备份也会自动继承加密属性。

云盘加密概述

加密原理

云盘加密功能采用行业标准的AES-256加密算法对整块数据盘进行加密。开启云盘加密后,数据被写入云盘时自动加密并以密文形式存储,即使存储数据或数据备份泄露也无法解密数据,提高云盘数据存储的安全性。已授权用户从云盘中读取数据时会自动解密,无需任何应用侧的代码修改或适配。详细加密原理请参见加密云盘

加密密钥

云盘加密所需密钥由密钥管理服务(KMS)提供,您可以使用KMS下的默认密钥(含服务密钥和主密钥)、软件密钥和硬件密钥等多种类型密钥加密云盘,不同密钥类型的区别如下:

密钥类型

加密算法

费用

创建者

密钥材料来源

说明

默认密钥

服务密钥

AES_256

免费

云产品代您创建与托管

不可删除、禁用,每个用户在同地域内只能持有一个专为RDS使用的服务密钥。

主密钥

用户

KMS生成/自定义上传

可管理生命周期,每个用户在同地域内只能持有一个主密钥。

软件密钥、硬件密钥

多种算法

收费

用户

KMS生成/自定义上传

可管理生命周期,可创建多个密钥。

  • 如您的业务无实例间密钥隔离需求且希望降低使用成本,可以选择默认密钥(含服务密钥或主密钥),该类型免费但有数量限制,每个用户在同一地域下只能持有一个主密钥和一个专为RDS使用的服务密钥。

  • 如您需要使用不同的密钥对不同的RDS实例进行加密,或使用更丰富的功能(如凭据管理、签名等),可以选择购买软件或硬件密钥实例并创建相应密钥,详情请参见KMS密钥选型

适用范围

  • RDS MySQL只读实例不支持手动开启云盘加密。

  • RDS MySQL主实例需满足以下条件才能开启云盘加密:

    • 存储类型为ESSD云盘高性能云盘

    • 主实例未挂载只读实例。如已挂载,需要先释放只读实例后再开启云盘加密,且此后基于该主实例新建的只读实例将默认启用加密云盘。

  • 已使用阿里云主账号授权RDS访问密钥管理服务(KMS)

费用说明

  • 云盘加密功能免费,您在磁盘上的任何读写操作都不会产生额外费用。

  • 云盘加密所需密钥由KMS统一管理,使用默认密钥(含服务密钥和主密钥)不收费,使用软件密钥和硬件密钥由KMS收费

注意事项

  • 云盘加密功能开启后无法关闭。

  • 实例闪断已有实例开启云盘加密更换密钥会出现30秒左右的闪断,请确保您的应用程序具有自动重连机制。

  • 备份与恢复:开启云盘加密后,实例不支持秒级备份和下载备份。实例生成的快照备份以及通过这些快照备份创建的云盘实例将自动继承加密属性。

  • 密钥限制:实例规格对可选择的KMS密钥有所限制,KMS欠费、禁用或删除密钥会对部分已开启云盘加密的实例造成影响。

    • 密钥选择限制:通用规格实例仅支持选择服务密钥独享型规格实例可以选择服务密钥或其他类型的用户自定义密钥。

    • KMS欠费影响:如您使用了付费类型密钥(如软件密钥和硬件密钥等),当KMS欠费时,会导致使用付费类型密钥加密的云盘实例无法解密,整实例不可用,请及时续费KMS实例。

    • 禁用或删除密钥影响:对于可自行管理生命周期的密钥(如主密钥、软件密钥和硬件密钥等),禁用或删除密钥会导致使用该密钥的RDS实例被锁定无法访问,无法正常工作,所有运维操作无法进行(如备份、变更配置、重启、HA切换等)。

开启云盘加密

新建实例时开启云盘加密

  1. 访问RDS MySQL售卖页,在顶部导航栏选择标准创建

  2. 存储类型选择云盘后,在右侧勾选云盘加密

  3. 选择所需密钥。

    • 如需使用服务密钥(免费):无论在当前地域下是否已创建服务密钥,均可选择Default Service CMK

    • 如需使用主密钥(免费)软件密钥(收费)硬件密钥(收费):如已创建相应密钥,可在下拉列表中直接选择;如未创建,可以单击前往创建,在KMS控制台新建密钥

      说明

      • 如您在当前地域下无服务密钥,选择Default Service CMK后,系统会自动创建别名为alias/acs/rds的服务密钥。

      • 已有服务密钥时,在选择Default Service CMK后不再新建服务密钥,而会默认使用别名为alias/acs/rds的服务密钥加密(同一产品在同一地域下只有一个服务密钥)。

  4. 其他参数可根据您的业务需求自行配置。支付成功后,您可以访问RDS实例列表,单击目标实例ID,在基本信息区域查看是否有相应密钥,如有即表示实例已开启云盘加密。

已有实例开启云盘加密

重要

已有实例开启云盘加密会出现30秒左右的闪断,请确保您的应用程序具有自动重连机制。

  1. 访问RDS实例列表,在上方选择地域,然后单击目标实例ID。

  2. 在左侧导航栏单击数据安全性

  3. 数据加密页签,单击开启云盘加密

  4. 在弹窗中按需选择密钥,单击确定。实例运行状态会立即变为参数修改中

  5. 等待一段时间后,当实例运行状态重新变为运行中,且在数据加密页签下能看到相关加密信息时,表示已成功开启云盘加密。

更换密钥

已开启云盘加密且实例规格为独享规格RDS MySQL实例,可按照如下操作更换密钥。通用规格的RDS MySQL实例只能使用服务密钥,无法修改。

重要

更换密钥会出现30秒左右的闪断,请确保您的应用程序具有自动重连机制。

  1. 访问RDS实例列表,在上方选择地域,然后单击目标实例ID。

  2. 在左侧导航栏单击数据安全性

  3. 数据加密页签,单击更换密钥

  4. 修改数据盘加密密钥弹窗中,按需选择密钥,并单击确定

相关内容

上一篇:透明数据加密TDE测试报告下一篇:短信验证