云盘加密

RDS MariaDB提供免费的云盘加密功能,该功能基于块存储对整个数据盘进行加密,即使数据备份泄露也无法解密,能够保护您的数据安全。您无需对现有应用程序做任何修改,同时您的快照数据将自动继承加密属性。

前提条件

  • 仅在快速创建RDS MariaDB实例时可以开启云盘加密,创建实例后无法开启。

  • 创建实例的方式为标准创建。

  • 已根据待创建实例的版本创建密钥。不同版本的MariaDB支持不同的密钥。密钥的创建请参见创建密钥

    • MariaDB 10.3:仅支持用户自定义密钥创建云盘加密。

    • MariaDB 10.6:

      • 通用型规格:只支持使用RDS托管的服务密钥(Default Service CMK)创建云盘加密实例。

      • 独享型规格:支持RDS托管的服务密钥(Default Service CMK)、用户自定义密钥创建云盘加密实例。

      说明

      服务密钥(Default Service CMK)为RDS托管密钥,永久有效。在RDS控制台开启云盘加密时,选择默认服务密钥(Default Service CMK),系统会自动创建。

计费

云盘加密为免费功能,您在磁盘上的任何读写操作都不会产生额外费用。

注意事项

  • 云盘加密功能开启后无法关闭。

  • 云盘加密不会影响您的业务,应用程序也无需修改。

  • 开启云盘加密后,实例生成的快照以及通过这些快照创建的云盘版实例将自动延续加密属性。

  • 密钥管理服务KMS欠费会导致云盘无法解密,整个实例不可用,请确保KMS状态正常。

  • 当您禁用或删除了KMS密钥,将导致使用了该KMS密钥的RDS实例无法正常工作,实例被锁定无法访问。同时,所有的运维操作将无法进行,包括但不限于备份实例、变更实例配置、克隆实例、重启实例、HA切换以及修改参数等。RDS将通过短信、站内信和邮件等方式通知您实例KMS密钥不可用,通知频率为每日一次,最多不超过三次。

    说明

    对于MariaDB 10.6实例,为了避免此类情况的发生,建议您使用RDS托管的服务密钥(Default Service CMK)。

开启云盘加密

快速创建RDS MariaDB实例时,选中存储类型后,在右侧选中云盘加密,然后选择相应的密钥。

说明
  • 密钥的创建请参见创建密钥

  • 创建实例后您可以在实例基本信息页面查看到云盘加密的密钥。

  • 对于MariaDB 10.6实例,默认使用RDS托管的服务密钥(Default Service CMK)创建云盘加密实例。RDS托管的服务密钥(Default Service CMK)规格为Aliyun_AES_256,默认未开启密钥轮转服务。如果您需要开启密钥轮转服务,请登录密钥管理服务控制台进行购买,详情请参见密钥轮转

  • 在密钥管理服务控制台可以查看当前账号下的所有密钥。在密钥管理>默认密钥页签中,密钥用法服务密钥时即为阿里云产品托管密钥。RDS托管密钥别名为alias/acs/rds,如果您未找到该密钥,表示在该地域下还未创建服务密钥。在RDS控制台开启云盘加密时,选择服务密钥(Default Service CMK),系统会自动创建。

查看云盘加密的开启状态

  1. 访问RDS实例列表,在上方选择地域,然后单击目标实例ID。

  2. 在实例的基本信息区域,查看是否有密钥参数,如有即表示实例已开启云盘加密。

    image.png

相关API

API

描述

CreateDBInstance

创建RDS实例。